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本 书 源 自 日 均 阅 读 量 近 万 次 火爆 的 线 上 同名 课程 ， 口 碑 与 影响 力 俱 佳 ， 旨 在 打造 简单 易学 且 实 用 性 
强 的 轻 量 级 Linux 入 门 教程 。 
本 书 基 于 最 新 的 红 帽 RHEL 系统 编写 ， 且 内 容 通用 于 CentOS、Fedora 等 系统 。 本 书 共 分 为 20 章 ， 

内 容 涵 盖 了 部 署 虚 拟 环 境 、 安 装 Linux 系统 ; 常用 的 Linux 命令 ; 与 文件 读 写 操作 有 关 的 技术 ; 使 用 Vim 
编辑 器 编写 和 修改 配置 文件 ， 用 户 身份 与 文件 权限 的 设置 ， 硬盘 设备 分 区 、 格 式 化 以 及 挂 载 等 操作 ， 部 
署 RAID 磁盘 阵列 和 LVM ; firewalld 防火 墙 与 iptables 防火 墙 的 区 别 和 配置 ; 使 用 ssh 服务 管理 远程 主机 ; 
使 用 Apache 服务 部 署 静 态 网 站 ; 使 用 vsftpd 服务 传输 文件 ; 使 用 Samba 或 NFS 实现 文件 共享 ; 使 用 BIND 
提供 域名 解析 服务 ;使 用 DHCP 动态 管理 主机 地 址 ;使 用 Postfix 与 Dovecot 部 署 邮 件 系统 ， 使 用 Squid 










































































































































































































































































































































































































































































部 署 代理 缓存 服务 ;使 用 iSCSI 服务 部 署 网 络 存储 ; 使 用 MariaDB 数据 库 管 理 系统 ， 使 用 PXE+Kickstart 
无 人 值守 安装 服务 ; 使 用 LNMP 架构 部 署 动态 网 站 环境 等 ,此 外 , 本 书 还 深度 点 评 了 红 帽 RHCSA、RHCE、 











RHCA 认证 ,方便 读者 备考 。 
本 书 适合 打算 系统 、 全 面 学 习 Linux 技术 的 初学 人 员 阅 读 ， 具 有 一 定 Linux 但 
过 本 书 来 温习 自己 的 Linux 知识 。 
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经 验 的 用 户 也 可 以 通 
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本 书 作者 刘 毅 (Liu Chuin ) 从 事 于 Linux 运 维 技术 行业 ， 高 中 时 期 便 因 兴趣 的 驱使 而 
较 早 地 接触 到 了 Linux 系统 并 开始 学 习 运 维 技术 ， 并 且 在 2012 年 获得 红 帽 工程 师 RHCE 6 
版 本 证 书 ， 在 2015 年 初 又 分 别 获得 红 帽 工程 师 RHCE 7 版 本 证 书 与 红 帽 架 构 师 认证 RHCA 
顶级 证 书 。 

尽管 如 此 ， 但 依然 深 知 水 平 有 限 且 技术 一 般 ， 若 不 是 得 益 于 良师益友 的 无 私 帮 助 ， 肯 定 
不 能 如 此 顺利 地 取得 上 述 成 绩 。 并 且 ， 作 为 一 名 普通 的 技术 人 ， 我 亲身 经 历 过 半夜 还 在 培训 
班 的 心酸 ， 体 验 过 拥 墙 6 小 时 车 程 的 无 奈 ， 也 翻 看 过 市 面 上 十 几 本 如 同 嚼 晴 般 的 Linux 技术 
书籍 ， 这 让 我 更 加 坚定 了 写作 本 书 的 信念 。 此 刻 ， 我 正 是 怀揣 着 一 颗 志 起 的 心 ， 尽 自己 最 大 
的 努力 把 有 用 的 知识 分 享 给 读者 ， 希 望 你 们 能 够 少 走 一 些 弯路 ， 更 快 地 人 门 Linux 系统 。 

窃 以 为 , 一 名 技术 高 超 的 导师 不 应 该 仅仅 是 技术 的 搬运 工 , 而 应 该 是 优质 知识 的 提炼 者 ， 
所 以 在 写作 本 书 的 过 程 中 ， 我 不 希望 也 不 会 将 自己 了 解 掌握 的 所 有 技术 知识 都 写 到 书 里 ， 借 
此 来 炫 技 ， 而 是 从 真正 贴近 于 新 人 学 习 特 点 的 角度 出 发 ， 主 动 握 弃 了 不 实用 的 部 分 ， 并 把 
点 、 难 点 反复 实践 ， 以 加 深 读者 对 理论 基础 的 理解 ， 并 彻底 掌握 生产 环境 中 用 到 的 技术 内 容 。 

本 书 基于 最 新 的 Linux 系统 RHEL 7 编写 而 成 ， 而 且 配 套 软件 及 资料 完全 人 免费， 课程 面 
向 Linux 新 手 。 本 书 会 从 堆 基 础 带领 读者 入门 Linux 系统 ， 然 后 渐进 式 地 提高 内 容 难度 ， 使 
其 匹配 生产 环境 对 运 维 人 员 的 要 求 。 而 且 ， 本 书 每 章 都 配套 有 大 量 的 图 、 表 、 命 令 示 例 以 及 
课 后 习题 ， 以 达到 增强 读者 学 习 兴 趣 与 加 次 记忆 的 效果 。 最 后 ， 本 书 以 及 配套 资源 相 较 于 当 
前 的 RHCE 培训 ， 至 少 要 多 出 40% 的 内 容 ， 只 要 您 能 每 天 坚持 学 习 ， 相 信 这 绝对 是 您 体验 最 
佳 、 进 步 最 快 的 一 次 学 习 经 历 。 

最 后 想 说 的 是 ， 我 的 写作 初 心 其 实 并 不 高 雅 ， 只 是 在 还 债 ， 还 十 几 年 来 中 国有 如 此 多 的 
培训 机 构 赚 了 那么 多 钱 ， 但 却 没 有 培训 机 构 真 正 给 学 员 提 供 一 本 好 教材 的 债 ， 而 这 应 该 是 我 
们 的 学 员 早 就 应 该 享受 的 服务 , 不 能 再 选择 性 失明 了 。 而 到 了 2017 年 , 我 的 写作 初衷 也 融和 人 
了 一 点 小 私心 ,除了 运营 好 《Linux 就 该 这 么 学 ) 图 书 的 在 线 学 习 网 站 http://www.linuxprobe. 
com/， 服 务 更 多 的 学 员 和 读者 之 外 ， 还 要 把 我 们 的 免费 开源 图 书 做 到 远 超 其 他 培训 机 构 收费 
教材 的 水 平 ， 并 坚持 做 中 国 开源 站 点 的 道德 典范 ， 不 欺骗 ， 不 作恶 ， 保 持 最 纯净 的 技术 交流 
环境 ， 而 我 们 想 要 得 到 的 也 很 简单 一 一 如 果 您 认可 了 刘 哮 老师 的 付出 并 满意 我 们 的 服务 ， 还 
请 把 本 书 告诉 身边 的 朋友 ， 让 更 多 的 人 知道 我 们 在 做 的 这 件 很 酷 的 事 。 


学 习 是 件 苗 差 事 


我 不 想 回 避 这 个 问题 一 一 学 习 是 件 痛苦 的 事情 。 如 果 说 学 习 Linux 真 的 很 简单 ， 那 必 是 
骗子 的 谎言 ， 起 码 这 不 能 给 您 带 来 高 薪 。 在 每 次 起 床 后 的 几 分 钟 时 间 里 ， 大 脑 都 会 陷 人 斗争 
状态 一 一 是 该 聊 会 天 呢 ， 还 是 要 追 个 美剧 呢 ， 还 是 打 一 局 英雄 联盟 呢 ， 还 是 看 一 下 那 该 死 的 
刘 选 写 的 那 本 可 怕 的 Linux 教材 呢 ? 这 个 时 候 ， 请 不 要 忘记 自己 最 初 的 梦想 。 十 年 后 的 你 ， 
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一 定 会 感激 现在 拼命 努力 学 习 的 自己 。 身 为 作者 ， 我 的 使 命 就 是 让 本 书 对 得 起 你 为 此 花费 的 
时 间 、 精 力 和 金钱 ， 让 你 每 学 完 一 个 章节 都 是 一 次 进步 。 
稳 感 和 夫 先 生 在 《 活 法 》 中 有 段 一 直 激 励 着 我 的 话 ， 现 在 转送 给 正在 阅读 本 书 的 你 : 


“工作 马马虎虎 ， 只 想 在 兴趣 和 游戏 中 寻 丰 快活 ， 充 其 量 只 能 获得 一 时 的 快感 ， 绝 不 能 
党 到 从 心底 涌 出 的 惊喜 和 快乐 , 但 来 自 工 作 的 喜悦 并 不 像 糖 果 那 样 一 一 放 进 嘴 里 就 甜 味 十 足 ， 
而 是 需要 从 著 劳 与 艰辛 中 渗 出 ， 因 此 当 我 们 聚精会神 ， 了 孜孜不倦， 克服 艰辛 后 的 成 就 感 ， 世 
上 没有 哪 种 喜悦 可 以 类 比 ”。 

“更 何况 人 类 生活 中 工作 占据 了 较 大 的 比重 ， 如 果 不 能 从 劳动 中 、 工 作 中 获得 充实 感 ， 
那么 即使 从 别 的 地 方 找到 快乐 ， 最 终 我 们 仍然 会 感到 空 诬 和 缺憾 ”。 


开源 共享 精神 


简单 来 说 ， 开 源 软件 的 特点 就 是 把 软件 程序 与 源 代码 文件 一 起 打包 提供 给 用 户 ， 让 用 户 
在 不 受 限 制 地 使 用 某 个 软件 功能 的 基础 上 还 可 以 按 需 进行 修改 ,或 编制 成 衍生 产品 再 发 布 出 
去 。 用 户 具 有 使 用 自由 、 修 改 自由 、 重 新 发 布 自由 以 及 创建 衍生 品 的 自由 。 这 也 正好 符合 了 
黑客 和 极 客 对 自由 的 追求 ， 因 此 国内 外 开源 社区 的 根基 都 很 庞大 ， 人 和 气 也 相当 高 。 
坦白 来 计 ， 每 位 投身 于 Linux 行业 的 技术 人 或 者 程序 员 只 要 听 到 开源 项 目 就 会 由 囊 地 感 
到 自豪 ， 这 是 一 种 从 骨子里 带 有 的 独特 情怀 。 开 源 的 企业 不 单纯 是 为 了 利益 ， 而 是 互相 扶持 ， 
努力 服务 好 更 多 的 用 户 。 开 源 软件 最 重要 的 特性 有 下 面 这 些 。 
> 低 风 险 : 使 用 闭 源 软 件 无 疑 把 命运 交付 给 他 人 , 一旦 封闭 的 源 代 码 没 有 人 来 维护 ,你 
将 进退 维 谷 ; 而 且 相 较 于 商业 软件 公司 ， 开 源 社区 很 少 存在 倒闭 的 问题 。 
> 高 品质 : 相 较 于 闭 源 软件 产品 ,开源 项 目 通常 是 由 开源 社区 来 研发 及 维护 的 ， 参 与 编 
写 、 维 护 、 测 试 的 用 户 量 众多 ， 一般 的 bug 还 没有 等 爆发 就 已 经 被 修补 。 
> 低 成 本 : 开源 工作 者 都 是 在 幕后 默默 且 无 偿 地 付出 劳动 成 果 , 为 美好 的 世界 贡献 一 份 
力量 ， 因 此 使 用 开源 社区 推动 的 软件 项 目 可 以 节省 大 量 的 人 力 、 物 力 和 财力 。 
> 更 透明 : 没有 哪个 笨蛋 会 把 木马 、 后 门 等 放 到 开放 的 源 代码 中 ,这样 无 疑 是 把 自己 的 
罪行 暴露 在 阳光 之 下 。 
但 是 ， 如 果 开 源 软件 为 了 单纯 追求 “自由 ”而 牺牲 程序 员 的 利益 ， 这 将 会 影响 程序 员 的 
创造 激情 ， 因 此 世界 上 现在 有 60 多 种 被 开源 促进 组 织 ( Open Source Initiative ) 认可 的 开源 许 
可 协议 来 保证 开源 工作 者 的 权益 。 对 于 那些 只 知道 一 味 抄袭 、 算 改 、 破 解 或 者 盗版 他 人 作品 
的 不 法 之 徒 ， 终 归 会 在 某 一 天 收 到 法 院 的 传票 。 对 于 准备 编写 一 款 开源 软件 的 开发 人 员 ， 也 
非常 建议 先 了 解 一 下 当前 最 热门 的 开源 许可 协议 ， 选 择 一 个 合适 的 开源 许可 协议 来 最 大 限度 
保护 自己 的 软件 权益 。 
> GNU GPL ( GNU General Public License，GNU 通用 公共 许可 证 ) : 只 要 软件 中 包 
含 了 遵循 GPL 协议 的 产品 或 代码 , 该 软件 就 必须 也 遵循 GPL 许可 协议 且 开源 、 免 费 ， 
因此 这 个 协议 并 不 适合 商用 软件 。 遵 循 该 协议 的 开源 软件 数量 极其 庞大 ， 包 括 Linux 
系统 在 内 的 大 多 数 的 开源 软件 都 是 基于 这 个 协议 的 .GPL 开源 许可 协议 最 大 的 4 个 特 
点 如 下 所 示 。 
































































































































































































































4 复制 自由 : 允许 把 软件 复制 到 任何 人 的 电脑 中 ， 并 且 不 限制 复制 的 数量 。 

传播 自由 : 允许 软件 以 各 种 形式 进行 传播 。 

4 收费 传播 : 允许 在 各 种 媒介 上 出 售 该 软件 ， 但 必须 提前 让 买 家 知道 这 个 软件 是 
可 以 免费 获得 的 ; 因此 ， 一 般 来 讲 ， 开 源 软 件 都 是 通过 为 用 户 提 供 有 偿 服务 的 





全 








形式 来 钥 利 的 。 
9 修改 自由 : 允许 开发 人 员 增 加 或 删除 软件 的 功能 ， 但 软件 修改 后 必须 依然 基于 
GPL 许可 协议 授权 。 


> BSD ( Berkeley Software Distribution， 伯 克利 软件 发 布 版 ) 许可 协议 : 用 户 可 以 使 
用 、 修改 和 重新 发 布 遵循 该 许可 的 软件 ， 并 且 可 以 将 软件 作为 商业 软件 发 布 和 销售 ， 
前 提 是 需要 满足 下 面 3 个 条 件 。 











”如果 再 发 布 的 软件 中 包含 源 代码 ， 则 源 代码 必须 继续 遵循 BSD 许可 协议 。 
”如果 再 发 布 的 软件 中 只 有 二 进 制程 序 ， 则 需要 在 相关 文档 或 版 权 文件 中 声明 原 
始 代码 遵循 了 BSD 协议 。 
9 不 允许 用 原始 软件 的 名 字 、 作 者 名 字 或 机 构 名 称 进行 市 场 推广 。 
> Apache 许可 证 版 本 ( Apache License Version ) 许可 协议 : 在 为 开发 人 员 提供 版 权 及 专 

利 许可 的 同时 ， 人 允许 用 户 拥 有 修改 代码 及 再 发 布 的 自由 。 该 许可 协议 适用 于 商业 软件 ， 
现在 热门 的 Hadoop 、Apache HTTP Server .MongoDB 等 项 目 都 是 基于 该 许可 协议 研发 的 ， 
程序 开发 人 员 在 开发 遵循 该 协议 的 软件 时 ， 要 严格 遵守 下 面 的 4 个 条 件 。 


























Apache 


4 该 软件 及 其 衍生 品 必须 继续 使 用 Apache 许可 协议 。 
儿 ”如果 修 改 了 程序 源 代码 ， 需 要 在 文档 中 进行 声明 。 














4 和 若 软 件 是 基于 他 人 的 源 代 码 编写 而 成 的 ， 则 需要 保留 原始 代码 的 协议 、 商 标 、 
专利 声明 及 其 他 原作 者 声明 的 内 容 信息 。 
9 如 果 再 发 布 的 软件 中 有 声明 文件 , 则 需 在 此 文件 中 标注 Apache 许可 协议 及 其 他 
许可 协议 。 
> MPL ( Mozilla Public License，Mozilla 公共 许可 ) 许可 协议 : 相 较 于 GPL 许可 协议 ， 
MPL 更 加 注重 对 开发 者 的 源 代码 需求 和 收益 之 间 的 平衡 。 
> MIT ( Massachusetts Institute of Technology ) 许可 协议 : 目前 限制 最 少 的 开源 许可 
协议 之 一 ， 只 要 程序 的 开发 者 在 修改 后 的 源 代码 中 保留 原作 者 的 许可 信息 即 可 ,因此 
普遍 被 商业 软件 所 使 用 。 


为 什么 学 习 Linux 系统 


早 在 20 世纪 70 年代，UNIX 系统 是 开源 而 且 免费 的 。 但 是 在 1979 年 时 ，AT&T 公司 宣 
布 了 对 UNIX 系统 的 商业 化 计划 ， 随 之 开源 软件 业 转 变 成 了 版 权 式 软件 产业 ， 源 代码 被 当 作 
商业 机 密 ， 成 为 专利 产品 ， 人 们 再 也 不 能 自由 地 享受 科技 成 果 。 

于 是 在 1984 年 ，Richard Stallman 面 对 于 如 此 封闭 的 软件 创作 环境 ,发 起 了 GNTU 源 代 码 
开放 计划 并 制定 了 著名 的 GPL 许可 协议 。1987 年 时 ，GNU 计划 获得 了 一 项 重大 突破 一 一 gcc 
编译 器 发 布 ， 这 使 得 程序 员 可 以 基于 该 编译 器 编写 出 属于 自己 的 开源 软件 。 随 之 , 在 1991 年 
10 月 , 芬兰 赫尔辛基 大 学 的 在 校生 Linus Torvalds 编写 了 一 款 名 为 Linux 的 操作 系统 。 该 系统 
其 较 高 的 代码 质量 且 基 于 GNU GPL 许可 协议 的 开放 源 代 码 特性 , 迅速 得 到 了 GNU 计划 和 
一 大 批 黑客 程序 员 的 支持 。 随 后 Linux 系统 便 进入 了 如 火 如 茶 的 发 展 阶段 。 

1994 年 1 月 ，Bob Young 在 Linux 系统 内 核 的 基础 之 上 ， 集 成 了 众多 的 源 代码 和 程序 软 
件 , 发 布 了 红 帆 系统 并 开始 出 售 技术 服务 , 这 进一步 推动 了 Linux 系统 的 普及 。1998 年 以 后 ， 
随 着 GNU 源 代码 开放 计划 和 Linux 系统 的 继续 火热 ,以 IJBM 和 Intel 为 首 的 多 家 IT 企业 巨头 
开始 大 力 推 动 开 放 源 代码 软件 的 发 展 。 到 了 2017 年 年 底 , Linux 内 核 已 经 发 展 到 了 4.13 版 本 ， 
并 且 Linux 系统 版 本 也 有 数 百 个 之 多 ， 但 它们 依然 都 使 用 Linus Torvalds 开发 、 维 护 的 Linux 
系统 内 核 。RedHat 公司 也 成 为 了 开源 行业 及 Linux 系统 的 带头 公司 。 







































































































































































在 讲课 时 ， 我 经 常会 问 同学 们 一 个 问题 : “为 什么 学 习 Linux 系统 ”” 很 多 学 生 为 了 让 我 高 
兴 ， 直 接 就 说 “因为 Linux 系统 是 开源 的 ， 所 以 要 去 学 习 ”。 其 实 这 个 想法 是 完全 错误 的 ! 开源 
的 操作 系统 少 说 有 100 个 ， 开 源 的 软件 至 少 也 有 十 万 个 ， 为 什么 不 去 逐个 学 习 ? 所 以 上 面谈 到 的 
开源 特性 只 是 一 部 分 优势 ， 并 不 足以 成 为 您 付出 精力 去 努力 学 习 的 理由 。 

对 于 用 户 来 讲 ,开源 精神 仅 具备 锦上添花 的 效果 , 因此 正确 的 学 习 动 力 应 该 源 自 于 :Linux 
系统 是 一 款 优秀 的 软件 产品 ， 具 有 类 似 UNIX 的 程序 界面 ， 而 且 继承 了 UNIX 的 稳定 性 ， 能 
够 较 好 地 满足 工作 需求 。 

大 多 数 读者 应 该 都 是 从 微软 的 Windows 系统 开始 了 解 计算 机 和 网 络 的 , 因此 肯定 会 有 这 
样 的 想法 “Windows 系统 很 好 用 啊 , 而 且 也 可 足以 满足 日 常 工作 需求 呀 ”。 客观 来 讲 , Windows 
系统 确实 很 优秀 ， 但 是 在 安全 性 、 高 可 用 性 与 高 性 能 方面 却 难 以 让 人 满意 。 您 应 该 见 过 下 面 
这 张 图 片 。 
























































想必 读者 现在 已 经 能 猜 到 ， 为 什么 要 在 需要 长 期 稳定 运行 的 网 站 服务 器 上 、 在 处 理 大 数 
据 的 集群 系统 中 以 及 需要 协同 工作 的 环境 中 采用 Linux 系统 了 。 通 过 下 图 也 可 以 看 出 Linux 
系统 相 较 于 Windows 系统 的 具体 优势 。 








Linux PK windows 
稳定 且 有 效率 
免费 或 少许 费用 
漏洞 少 且 快速 修补 
多 任务 多 用 户 

更 加 安全 的 用 户 及 文件 权限 策略 
适合 小 内 核 程 序 的 广 入 系统 


LUX-Windows 相对 不 本 


常见 的 Linux 系统 版 本 


在 介绍 常见 的 Linux 系统 版 本 之 前 ， 首 先 需 要 区 分 Linux 系统 内 核 与 Linux 发 行 套 件 系 
统 的 不 同 。 
> Linux 系统 内 核 指 的 是 一 个 由 Linus Torvalds 负责 维护 , 提供 硬件 抽象 层 、 硬盘 及 文件 
系统 控制 及 多 任务 功能 的 系统 核心 程序 。 
> Linux 发 行 套件 系统 是 我 们 常 说 的 Linux 操作 系统 ， 也 即 是 由 Linux 内 核 与 各 种 常用 
软件 的 集合 产品 。 
全 球 大 约 有 数 百 款 的 Linux 系统 版 本 ， 每 个 系统 版 本 都 有 自己 的 特性 和 目标 人 群 ， 下 面 
将 可 以 从 用 户 的 角度 选 出 最 热门 的 几 款 进行 介绍 。 
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本 书 全 篇 将 以 “Linux 系统 ”来 替代 “Linux 发 行 套件 系统 ”这 个 词 。 


> 红 帆 企业 版 Linux ( RedHat Enterprise Linux, RHEL ) : 
红 帆 公司 是 全 球 最 大 的 开源 技术 厂商 , RHEL 是 全 世界 内 使 
用 最 广泛 的 Linux 系统 。RHEL 系统 具有 极 强 的 性 能 与 稳定 
性 , 并 且 在 全 球 范 围 内 拥有 完善 的 技术 文 持 。RHEL 系统 也 
是 本 书 、 红 帽 认 证 以 及 众多 生产 环境 中 使 用 的 系统 。 ~ 


redhat 









































> 社区 企业 操作 系统 ( Community Enterprise Operating System， 
CentOS ) : 通过 把 RHEL 系统 重新 编译 并 发 布 给 用 户 免 费 使 用 但 
的 Linux 系统 ， 具 有 广泛 的 使 用 人 群 。CentOS 当前 已 被 红 帽 公 。 赂 | 
司 “ 收 编 ”。 > 
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> Fedora: 由 红 帽 公司 发 布 的 桌面 版 系统 套件 ( 目前 已 经 不 限于 桌 
面 版 ) 。 用 户 可 免费 体验 到 最 新 的 技术 或 工具 ,这 些 技术 或 工具 
在 成 熟 后 会 被 加 入 到 RHEL 系统 中 ， 因 此 Fedora 也 称 为 RHEL 
系统 的 “试验 田 ”。 运 维 人 员 如 果 想 时 刻 保持 自己 的 技术 领先 ， 
就 应 该 多 关注 此 类 Linux 系统 的 发 展 变化 及 新 特性 ,不 断 改变 自 
已 的 学 习 方向 。 











> openSUSE: 源 自 德国 的 一 款 著名 的 Linux 系统 ， 在 全 球 范围 内 CRE 
有 着 不 错 的 声誉 及 市 场 占 有 率 。 onSUSE 








员 使 用 。 读 者 可 以 在 学 习 完 本 书后 尝试 一 下 该 系统 。 


> Gentoo: 具有 极 高 的 自 定制 性 ， 操 作 复杂 ， 因 此 适合 有 经 验 的 人 ‘> 


> Debian: 稳定 性 、 安 全 性 强 ， 提 供 了 免费 的 基础 支持 ， 可 以 良好 
地 支持 各 种 硬件 架构 ， 以 及 提供 近 十 万 种 不 同 的 开源 软件 ， 在 
外 拥有 很 高 的 认可 度 和 使 用 率 。 


> Ubuntu: 是 一 款 派 生 自 Debian 的 操作 系统 ， 对 新 款 硬件 具有 极 
强 的 兼容 能 力 .Ubuntu 与 Fedora 都 是 极其 出 色 的 Linux 桌面 系统 ， 
而 且 Ubuntu 也 可 用 于 服务 器 领域 。 


现在 国内 大 多 数 Linux 相关 的 图 书 都 是 围绕 CentOS 系统 编写 的 ， 作 者 大 多 也 会 给 出 
围绕 CentOS 进行 写作 的 一 系列 理由 , 但 是 很 多 理由 都 站 不 住 脚 , 根本 没有 剖析 到 CentOS 
系统 与 RHEL 系统 的 本 质 关 系 。CentOS 系统 是 通过 把 RHEL 系统 释放 出 的 程序 源 代 码 经 
过 二 次 编译 之 后 生成 的 一 种 Linux 系统 ， 其 命令 操作 和 服务 配置 方法 与 RHEL 完全 相同 ， 但 
是 去 掉 了 很 多 收费 的 服务 套件 功能 ， 而 且 还 不 提供 任何 形式 的 技术 支持 ， 出 现 问题 后 只 能 
运 维 人 员 自 己 解决 。 经 过 这 般 分 析 基 本 上 可 以 判断 出 ， 选择 CentOS 的 理由 只 剩 下 一 一 免费 1 
当 人 们 大 举 免 费 、 开 源 、 正 义 的 旗帜 来 宣扬 CentOS 系统 的 时 候 ， 殊 不 知 CentOS 系统 其 
实 早 在 2014 年 年 初 就 已 经 被 红 帽 公司 “收编 ”， 当 前 只 是 战略 性 的 免费 而 已 。 再 者 说 ， 
根据 GNU GPL 许可 协议 , 我 们 同样 也 可 以 免费 使 用 RHEL 系统 ， 甚 至 是 修改 其 代码 创建 
衍生 产品 。 开 源 系统 在 自由 程度 上 没有 任何 差异 ， 更 无 关 道 德 问题 。 
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本 书 是 基于 最 新 的 RHEL 7 系统 编写 的 ， 书 中 内 容 及 实验 完全 通用 于 CentOS 、Fedora 等 
系统 。 也 就 是 说 ， 当 您 学 完 本 书后 ， 即 便 公 司 内 的 生产 环境 部 署 的 是 CentOS 系统 ,也 照样 可 
以 搞 得 定 。 更 重要 的 是 ， 本 书 配套 资料 中 的 ISO 镜像 与 红 帽 RHCSA 及 RHCE 考试 基本 保持 
一 致 ， 因 此 更 适合 备考 红 帽 认 证 的 考生 使 用 。 

> 随 书 配备 的 ISO 镜像 文件 下 载 地 址 : http:/www .linuxprobe.com/tools 

> 深度 评 解 红 帽 RHCSA、RHCE、RHCA 认证 : http://www.linuxprobe.com/redhat-certificate 


优秀 的 RHEL 7 系统 


本 小 节 的 内 容 是 我 在 2015 年 写 给 学 员 的 一 篇 文章 ， 现 在 RHEL7 系统 已 经 经 过 近 
三 年 的 迭代 更 新 ， 此 时 再 回 看 这 篇 文章 ， 发 现 我 的 预测 还 是 很 准确 吧 。 当 前 ， 国 内 大 
多 数 机 房 都 已 经 部 署 了 RHEL7 系统 , 国内 外 多 家 银行 机 构 、 保 险 公司 系统 也 纷纷 上 线 
CentOS 7 或 RHEL7 系统 , 但 我 依然 想 引 用 这 篇 文章 来 帮助 读者 了 解 RHEL 7 系统 , 而 
且 我 也 深信 这 篇 文章 同样 也 会 适用 于 未 来 的 RHEL 8 系统 。 






































2014 年 年 末 ，RedHat 公司 推出 了 当前 最 新 的 企业 版 Linux 系统 一 一 RHEL 7， 彼 时 国内 外 
各 大 媒体 都 给 了 不 少 特写 镜头 ， 行 业 也 给 予 了 硕大 的 期 待 。 但 是 ， 时 至 今日 RHEL 7 系统 的 市 
场 占 有 率 却 一 直 不 温 不 火 ， 于 是 有 人 开始 对 RHEL 7 系统 的 未 来 表示 担心 ， 甚 至 有 人 还 拿 出 各 
种 论调 来 唱 衰 Linux 系统 ,觉得 开源 厂商 已 经 过 了 事业 最 高 点 ,要 在 服务 器 领域 让 步 于 Windows 
系统 了 。 这 些 话 其 实 并 没 必 要 去 反 驭 ， 任 何 一 个 产品 都 会 有 其 拥 征 和 黑 粉 ， 时 间 会 向 所 有 人 证 
明 一 切 。 我 们 现在 只 是 来 单纯 地 聊 一 聊 这 个 RHEL 7 系统 。 

在 正式 开 聊 之 前 ， 希 望 读者 对 Linux 系统 特性 和 运 维 领域 有 基本 的 了 解 ， 知 道 Linux 
系统 在 服务 器 领域 中 占据 着 不 可 小 舰 的 市 场 份额 ,认识 到 RedHat 厂商 对 Linux 系统 及 整个 
开源 行业 的 重要 影响 ,更 知道 CentOS 系统 其 实 是 RHEL 系统 的 衍生 品 。 如 果 以 前 使 用 过 一 
段 时 间 的 RHEL 7 系统， 我们 就 更 能 顺畅 地 讨论 “ 红 帽 Linux 系统 是 否 是 一 个 失败 的 产品 ” 
这 个 问题 。 

我 们 先 来 看 一 个 烫手 的 热 议 问题 : “为 什么 半年 过 去 了 , RHEL 7 系统 的 市 场 份额 依然 不 
温 不 火 ? 要 不 要 返回 去 学 习 老 版 本 的 Linux 系统 ? ”甚至 有 阴谋 论说 美国 在 使 用 新 版 本 的 
Linux 系统 来 搜集 全 球 信息 ,， 告 诚 我 们 千 万 不 要 去 磁 。 这 个 问题 必须 要 回应 ， 和 否则 更 多 的 阴谋 
论 会 层出不穷 ， 甚 至 会 让 国内 某 些 认 知 能 力 欠 缺 的 媒体 对 开源 行业 产生 误解 甚至 曲解 。 

基于 前 面 提 到 的 与 读者 共有 的 经 验 共 识 和 篇 幅 限 制 ， 下 面 的 论证 速度 会 比较 快 ， 也 会 很 有 
意思 。 首 先 ，RHEL 是 企业 版 的 服务 器 系统 而 不 是 用 来 玩 页 折腾 的 桌面 机 系统 ， 更 何况 作为 桌 
面 操作 系统 的 Windows 7 在 2009 年 7 月 14 日 发 布 之 后 ,整整 用 了 3 年 才 开 始 真 正 普及 ， 难 道 
在 2009 年 到 2013 年 间 ，Windows 7 就 是 失败 的 产品 吗 ?” 再 者 ，RHEL 7 系统 创新 式 地 集成 了 
Docker 虚拟 化 技术 ， 支持 XFS 文件 系统 ,兼容 微软 的 身份 管理 ， 并 采用 systemd 作为 系统 初始 
化 进程 ， 其 性 能 和 兼容 性 相 较 于 之 前 版 本 都 有 了 很 大 的 改善 ， 很 明显 是 一 款 非常 优秀 的 操作 系 
统 。 最 后 ， 其 实 单 从 纳入 OpenStack 和 Docker 的 决策 上 来 讲 ， 就 应 该 相信 红 帽 的 开发 团队 不 是 
在 闭门造车 。 因 此 应 该 重新 考虑 到 底 是 哪里 出 了 问题 。 

运 维 人 员 在 心里 经 常会 想 : “现在 的 环境 跑 得 好 好 的 ， 为 什么 要 换 呢 ? ”重新 部 署 生产 
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环境 不 是 说 装 上 操作 系统 万 事 大 吉 ， 也 不 是 把 软件 随便 安装 上 就 能 拍 屁股 走 人 的 ， 还 要 考虑 
升级 带 来 的 风险 。 

> 日 后 的 生产 环境 出 了 问题 ， 谁 来 负责 ? 

> 旧 的 软件 依然 能 否 与 新 系统 兼容 ? 

> 新 的 系统 或 软件 是 否 有 bug? 

> 安全 性 如 何 ， 审 计 怎么 做 ? 
> 之 前 购买 的 第 三 方 技术 支持 是 否 可 以 具备 相应 的 能 力 ? 
> 
> 
> 




































































升级 后 是 否 会 影响 到 某 些 软 件 的 版 权 ， 是 否 需 要 重新 付费 ? 
不 习惯 新 系统 带 来 的 变化 怎么 办 ? 
费力 升级 后 对 自己 有 什么 好 人 处? 
客观 来 讲 , 这 次 RHEL 7 系统 的 改变 实在 太 大 , 最 重要 的 是 它 采 用 了 systemd 作为 初始 
化 进程 。 这 样 一 来 ， 几 乎 之 前 所 有 的 运 维 自动 化 脚本 都 需要 修改 。 那 么 ， 到 底 还 要 不 要 升 
级 到 RHEL 7? 当然 , 也 不 是 说 服务 器 机 房 中 的 生产 环境 从 不 更 新 换代 ， 当 工作 需求 超过 了 当 
前 版 本 的 能 力 范 围 时 ， 就 必须 要 进行 升级 。 比 如 ，rsyslogd 日 志 记 录 服 务 在 RHEL 6 系统 中 的 
版 本 是 5.8， 而 现在 最 新 的 版 本 已 经 是 8.1。 这 两 个 版 本 之 间 差 了 3 个 大 的 主 版 本 号 ， 其 功能 
就 有 了 很 大 的 差距 ， 您 觉得 会 一 直 用 旧 的 版 本 吗 ? 
早 在 2014 年 年 初 ,Fedora 系统 首次 采用 了 systemd 系统 初始 化 进程 ,当时 我 就 断言 RHEL 
7 系统 也 会 使 用 systemd， 所 以 当即 更 新 了 自己 的 培训 课程 。 这 也 让 身 在 其 他 培训 机 构 还 在 学 
习 init 参数 的 用 户 新 生 艳 羡 。 所 以 , 不 论 是 学 习 Linux 还 是 编程 语言 ， 都 应 该 选择 当前 稳定 且 
最 新 的 版 本 作为 学 习 环 境 。 
> 稳定 : 无 论 是 进行 开发 还 是 运 维 ， 稳定 压 到 一 切 。 
> 最 新 : 老 版 本 可 能 会 有 更 大 的 概率 存在 安全 漏洞 或 者 功能 缺陷， 而 新 版 本 不 仅 出 现 漏 洞 
的 概率 小 , 而 且 即 便 出 现 漏 洞 ,也 会 快速 得 到 众多 开源 社区 和 企业 的 响应 并 更 快 地 修复 。 
我 每 次 在 公开 场合 讲座 时 都 会 表达 这 样 一 个 观点 : “我 们 并 不 是 因为 开源 而 喜欢 Linux， 
而 是 因为 Linux 系统 真 的 非常 优秀 ， 开 源 精神 仅仅 是 锦上添花 而 已 。” 我 们 在 前 文中 已 经 狠 
狠 地 肯定 了 Linux 系统 对 运 维 行业 甚至 是 对 世界 的 影响 。 大 家 要 做 的 就 是 去 相信 我 对 运 维 行 
业 未 来 发 展 的 判断 ， 然 后 放手 来 学 习 吧 。 


了 解 红 帆 认证 


红 帆 公司 成 立 于 1993 年 ， 是 全 球 首 家 收入 超 10 亿美 元 的 开源 公司 ， 总 部 位 于 美国 ， 分 
支 机 构 遍 布 全 球 。 红 帽 公司 作为 全 球 领先 的 开源 和 Linux 系统 提供 商 ， 其 产品 已 被 业界 广泛 
认可 并 使 用 ， 尤 其 是 RHEL 系统 在 业内 拥有 超 高 的 Linux 系统 市 场 占 有 率 。 红 帽 公司 除了 提 
供 操作 系统 之 外 ， 还 提供 了 虚拟 化 、 中 间 件 、 应 用 程序 、 管 理 和 面向 服务 架构 的 解决 方案 。 

红 帆 认证 是 由 红 帽 公司 推出 的 Linux 认证 , 该 认证 被 认为 是 Linux 行业 乃至 整个 IT 领域 
价值 最 高 的 认证 之 一 。 红 帽 认 证 考试 全 部 采用 上 机 形式 ， 在 考察 学 生 基 础 理论 能 力 的 同时 还 
考察 了 实践 动手 操作 以 及 排 错 能 力 。 红 帽 公司 针对 红 帽 认证 制定 了 完善 的 专业 评估 与 认证 标 
准 ， 其 认证 主要 包括 红 帽 认 证 系统 管理 员 (RHCSA ) 、 红 帽 认证 工程 师 (RHCE ) 与 红 帽 认 
证 架构 师 (RHCA ) 。 

2014 年 6 月 10 日 ， 红 帽 公 司 在 发 布 新 版 红 帽 企业 版 系统 (RHEL7 ) 的 当天 即 在 红 帽 英 



































































































































































































































前 言 





文官 网 更 新 了 其 对 RHCSA 与 RHCE 培训 政策 的 调整 ， 考 生 只 有 先 通 过 红 帽 RHCSA 认证 后 
才能 考取 红 帽 RHCE 认证 。 
















加 ”架构 师 - RHCA 
在 Linux 和 开 尖 方面 的 技术 和 架 
构 领 军人 物 
牢 从 数据 中 心 到 终端 桌面 的 Linux 
系统 的 设计 、 计 划 、 部 署 及 全 面 
管理 








加 ”工程 师 - RHCE 加 ”系统 管理 员 - RHCSA 

文 安装 和 配置 Linux 服务 器 、 网络 广安 装 和 调试 Linux 系统 、 安 全 性 
设备 .网络 安全 ,实际 问题 的 诊断 设施 ， 并 连接 局 域 和 广域网 络 
和 解决 













红 帽 认 证 进 阶 等 级 图 








红 帽 认 证 系统 管理 员 ( Red Hat Certified System Administrator，RHCSA ) 属于 Linux 系统 
的 初级 认证 ， 比 较 适合 Linux 爱好 者 。 该 认证 要 求 考生 对 Linux 系统 有 一 定 的 了 解 ， 并 且 能 
够 熟练 使 用 Linux 命令 来 完成 以 下 任务 : 

> 管理 文件 、 目 录 、 文 档 以 及 命令 行 环境 ; 
使 用 分 区 、LVM 逻辑 卷 管理 本 地 存储 ; 
安装 、 更 新 、 维 护 、 配 置 系统 与 核心 服务 ; 
熟练 创建 、 修 改 、 删 除 用 户 与 用 户 组 ， 并 使 用 LDAP 进行 集中 目录 身份 认证 ; 
熟练 配置 防火 墙 以 及 SELinux 来 保障 系统 安全 。 
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红 帆 认证 管理 员 (RHCSA ) 证 书 示例 








红 帽 认证 工程 师 ( Red Hat Certified Engineer，RHCE ) 属于 Linux 系统 的 中 级 水 平 认 证 ， 
难度 相对 RHCSA 认证 来 讲 更 大 , 而 且 要 求 考生 必须 已 获得 RHCSA 认证 。 该 认证 适合 有 基础 
的 Linux 运 维 管理 员 ， 主 要 考察 对 下 列 服务 的 管理 与 配置 能 

> 熟练 配置 防火 墙 规 则 链 与 SElinux 安全 上 下 文 ; 

> 配置 iSCSI (互联 网 小 型 计算 机 系统 接口 ) 服务 ; 

> 编写 Shell 脚本 来 批量 创建 用 户 、 自 动 完成 系统 的 维护 任务 ; 

> 配置 HTTP/HTTPS 网 络 服务 ; 














LC 种 FTP 服务 ; 
LC 置 NFS 服务 ; 
t 置 SMB 服务 ; 
C 置 SMTP 服务 ; 
L 置 SSH 服务 ; 
L 置 NTP 服务 。 
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红 帽 认 证 工程 师 (RHCE ) 证 书 示例 








红 帽 认证 架构 师 (Red Hat Certified Architect，RHCA ) 属于 Linux 系统 的 
是 公认 的 Linux 操作 系统 顶级 认证 , 目前 中 国 仅 有 不 到 1000 人 (2017 年 更 新 数据 ) 持 有 该 认 





























二 由 三 


芭 喇 


级 别 认证 ， 


证 。 考 生 需 要 在 获得 RHCSA 与 RHCE 认证 后 再 完成 5 门 课程 的 考试 才能 获得 RHCA 认证 ， 
因此 难度 最 大 ， 备 考 时 间 最 长 ， 费 用 也 最 高 ( 考试 费 约 在 1.8 万 元 一 2.1 万 元 人 民 币 ) 。 该 认 
证 考察 的 是 考生 对 红 帽 卫 星 服 务 、 红 帽 系统 集群 、 红 帽 虚拟 化 、 系 统 性 能 调 优 以 及 红 帽 云 系 


























统 的 安装 搭建 与 维护 能 力 。 
A redhat 
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红 帽 认证 架构 师 (RHCA ) 证 书 示例 








RHCA 高 分 技巧 


红 帽 RHEL 7 版 本 的 RHCA 认证 需要 完成 至 少 5 门 考试 。 这 5 门 考 试 的 时 间 不 同 ， 但 均 
为 210 分 合格 (70% ) 。 而 且 红 帽 公司 非常 注重 RHCA 架构 师 认 证 的 实用 性 ， 所 以 课程 总 是 











在 随行 业 趋 势 而 不 断 调 整 。 
下 表 为 2017 年 最 新 版 的 考试 课程 。 欲 取得 红 帽 RHCA 认证 ， 您 必须 通过 以 下 任意 5 门 

















































































































认证 考试 。 
考试 代码 认证 名 称 

EX210 红 帽 OpenStack 认证 系统 管理 员 考 试 
EX220 红 帽 混合 云 管理 专业 技能 证 书 考试 
EX236 红 帆 混合 云 存储 专业 技能 证 书 考试 
EX248 红 帽 认证 JBoss 管理 员 考 试 
EX280 红 帽 平台 即 服务 专业 技能 证 书 考试 
EX318 红 帽 认证 虚拟 化 管理 员 考 试 
EX401 红 帽 部 署 和 系统 管理 专业 技能 证 书 考 试 
EX413 红 帽 服务 器 固化 专业 技能 证 书 考试 
EX436 红 帆 集群 和 存储 管理 专业 技能 证 书 考试 
EX442 红 帆 性 能 调 优 专业 技能 证 书 考试 

本 书 组 织 结构 

> 第 1 章 ,部 署 虚拟 环境 安装 Linux 系统 :从 零 基础 详细 讲解 了 虚拟 机 软件 与 红 帽 Linux 





系统 ， 完 整 演示 了 VM 虚拟 机 的 安装 与 配置 过 程 ， 以 及 红 帽 RHEL 7 系统 的 安装 、 配 
置 过 程 和 初始 化 方法 。 此 外 , 本 章 还 涵盖 了 在 Linux 系统 中 找 回 root 管理 员 密码 、RPM 
与 Yum 软件 仓库 的 知识 , 以 及 RHEL 7 系统 中 systemd 初始 化 进程 的 特色 与 使 用 方法 。 
第 2 章 ， 新 手 必须 掌握 的 Linux 命令 : 本 章 首先 介绍 系统 内 核 和 Shell 终端 的 关系 与 
作用 , 然后 介绍 bash 解释 器 的 4 大 优势 并 学 习 Linux 命令 的 执行 方法 。 本 章 还 精 挑 细 
选 了 数 十 个 Linux 命令 ， 它 们 与 系统 工作 、 系 统 状态 、 工 作 目录 、 文 件 、 目 录 、 打 包 
压缩 与 搜索 等 主题 相关 。 学 习 这 些 最 基础 的 Linux 命令 ， 可 以 为 今后 学 习 更 复杂 的 命 
令 和 服务 做 好 必 备 知识 铺垫 。 

第 3 章 ， 管 道 符 、 重 定向 与 环境 变量 : 本 章 讲解 了 与 文件 读 写 操作 有 关 的 重 定 向 技术 
的 5 种 模式 ， 让 读者 通过 实验 切实 理解 每 个 重 定向 模式 的 作用 ， 解 决 输出 信息 的 保 
存 问题 ; 然后 深入 讲解 了 管道 命令 符 ， 帮 助 读 者 掌握 命令 之 间 的 搭配 使 用 方法 ， 进 
一 步 提 高 命令 输出 值 的 处 理 效率 ; 随后 通过 讲解 Linux 系统 命令 行 中 的 通配符 和 常 
见 转 义 符 , 让 您 输入 的 Linux 命令 具有 更 准确 的 意义 , 为 下 一 章 学 习 编 写 Shell 脚本 
打 好 功底 。 

第 4 章 ，Vim 编辑 器 与 Shell 命令 脚本 : 本 章 讲解 了 如 何 使 用 Vim 编辑 器 来 编写 、 修 
改 文档 ,然后 通过 逐个 配置 主机 名 称 、 系 统 网 卡 以 及 Yum 软件 仓库 参数 文件 等 实验 ， 
帮助 读者 加 深 Vim 编辑 器 中 诸多 命令 、 快 捷 键 、 模 式 切 换 方法 的 理解 ， 然 后 把 前 面 








































































































章节 中 讲解 的 Linux 命令 、 命 令 语法 与 Shell 脚本 中 的 各 种 流程 控制 语句 通过 Vim 编 
辑 需 写 到 Shell 脚本 中 结合 到 一 起 ， 实 现 最 终 能 够 自动 化 工作 的 脚本 文件 ;本 章 最 后 
演示 了 怎样 通过 at 命令 与 crond 计划 任务 服务 来 分 别 实现 一 次 性 的 系统 任务 设置 和 长 
期 性 的 系统 任务 设置 ， 从 而 让 日 常 的 工作 更 加 高 效 ， 更 自动 化 。 

第 5 章 ， 用 户 身份 与 文件 权限 : 本 章 详细 讲解 了 文件 的 所 有 者 、 所 属 组 以 及 其 他 人 可 
对 文件 进行 的 读 (r) 写 (w ) 执行 (x ) 等 操作 ， 以 及 如 何在 Linux 系统 中 添加 、 删 
除 、 修 改 用 户 账户 信息 。 我 们 还 可 以 使 用 SUID、SGID 与 SBIT 特殊 权限 更 加 灵活 地 
设置 系统 权限 功能 , 来 弥补 对 文件 设置 一 般 操 作 权 限时 所 带 来 的 不 足 。 隐藏 权 限 能 够 
给 系统 增加 一 层 隐 形 的 防护 层 , 让 黑客 最 多 只 能 查看 关键 日 志 信 息 ， 而 不 能 进行 修改 
或 删除 。 而 文件 的 访问 控制 列表 ( Access Control List，ACL ) 可 以 进一步 让 单一 用 户 、 
用 户 组 对 单一 文件 或 目录 进行 特殊 的 权限 设置 , 让 文件 具有 能 满足 工作 需求 的 最 小 权 
限 吧 。 本 章 最 后 还 将 讲解 如 何 使 用 su 命令 与 sudo 服务 让 普通 用 户 具 备 超 级 管理 员 的 
权限 ， 不 仅 可 以 满足 日 带 的 工作 需求 ， 还 可 以 确保 系统 的 安全 性 。 

第 6 章 ， 存 储 结 构 与 磁盘 划分 : 本 章 详细 地 分 析 了 Linux 系统 中 最 常见 的 Ext3 、Ext4 
与 XFS 文件 系统 的 不 同 之 处 ， 并 带领 各 位 读者 着 重 练习 硬盘 设备 分 区 、 格 式 化 以 及 
挂 载 等 常用 的 硬盘 管理 操作 ， 以 便 熟 练 掌握 文件 系统 的 使 用 方法 。 在 打下 坚实 的 理论 
基础 与 完成 一 些 相关 的 实践 练习 后 , 我 们 还 将 进一步 完整 地 部 署 SWAP( 交换 ) 分 区 、 
配置 quota 磁盘 配额 服务 ， 以 及 掌握 In 命令 带 来 的 软 硬 链接 。 

第 7 章 , 使 用 RAID 与 LVM 磁盘 阵列 技术 : 本 章 深 入 讲解 了 各 个 常用 RAID 技术 方 
案 的 特性 ， 并 通过 实际 部 署 RAID 10、RAID 5+ 备 份 盘 等 方案 来 更 直观 地 查看 RAID 
的 强大 效果 ， 以 便 进一步 满足 生产 环境 对 硬盘 设备 的 IO 读 写 速度 和 数据 宛 余 备份 
机 制 的 需求 。 同 时 ， 考 虑 到 用 户 可 能 会 动态 调整 存储 资源 ， 本 章 还 将 介绍 LVM 
( Logical Volume Manager， 逮 辑 卷 管理 需 ) 的 部 署 、 扩 容 、 缩 小 、 快 照 以 及 伸 载 删 
除 的 相关 知识 。 
第 8 章 ，iptables 与 firewalld 防火 墙 : 本 章 讲 解 了 RHEL 7 中 新 增 的 firewalld 防火 墙 
与 先前 版 本 中 iptables 防火 墙 之 间 的 区 别 ， 并 分 别 使 用 iptables 、firewall-cmd 、 
firewall-config 和 TCP Wrappers 等 防火 墙 策略 配置 服务 来 完成 数 十 个 根据 真实 工作 需 
求 而 设计 的 防火 墙 策略 配置 实验 。 在 学 习 完 这 些 实验 之 后 , 各 位 读者 不 仅 可 以 熟练 地 
过 滤 请 求 的 流量 ,还 可 以 基于 服务 程序 的 名 称 对 流量 进行 多 许 和 拒绝 操作 , 确保 Linux 
系统 的 安全 性 万 无 一 失 。 

第 9 章 , 使 用 ssh 服务 管理 远程 主机 : 本 章 讲解 了 如 何 使 用 nmtui 命令 配置 网 络 参 数 ， 
以 及 通过 nmcli 命令 查看 网 络 信息 并 管理 网 络 会 话 服务 ， 从 而 让 您 能 够 在 不 同 工 作 场 
景 中 快速 地 切换 网 络 运行 参数 ; 还 讲解 了 如 何 手工 绑 定 mode6 模式 双 网 卡 , 实现 网 络 
的 负载 均衡 。 本 章 还 深入 介绍 了 SSH 协议 与 sshd 服务 程序 的 理论 知识 、Linux 系统 
的 远程 管理 方法 以 及 在 系统 中 配置 服务 程序 的 方法 , 并 采用 实验 的 形式 演示 了 使 用 基 
于 密 钥 验 证 的 sshd 服务 程序 进行 远程 登录 , 以 及 使 用 screen 服务 程序 远程 管理 Linux 
系统 的 不 间断 会 话 等 技术 。 

第 10 章 ， 使 用 Apache 服务 部 署 静态 网 站 : 本 章 通过 对 比 当前 主流 的 Web 服务 程序 
来 使 读者 更 好 地 理解 各 自 的 优势 及 特点 ,并 真正 掌握 在 Linux 系统 中 配置 服务 的 技巧 。 
本 章 还 详细 讲解 了 SELinux 服务 的 作用 、 三 种 工作 模式 以 及 策略 管理 方法 ,确保 读者 
掌握 SELinux 域 和 SELinux 安全 上 下 文 的 配置 方法 。 






















































































































































































前 言 


第 11 章 ， 使 用 vsftpd 服务 传输 文件 : 本 章 讲 解 了 什么 是 文件 传输 协议 〈 File Transfer 
Protocol，FTP ) ， 以 及 如 何 部 署 vsftpd 服务 程序 ， 然 后 深度 剖析 了 vsftpd 主 配 置 
文件 中 最 常用 的 参数 及 其 作用 ， 并 完整 演示 了 vsftpd 服务 程序 三 种 认证 模式 的 配 
置 方法 ; 本 章 还 涵盖 了 可 插 拔 认证 模块 的 原理 、 作 用 以 及 实用 配置 方法 。 

第 12 章 ， 使 用 Samba 或 NFS 实现 文件 共享 : 本 章 讲解 了 Samba 服务 的 理论 知识 ， 
以 及 SMB 协议 与 Samba 服务 程序 的 起 源 和 发 展 过 程 ， 并 通过 实验 的 方式 部 署 文件 共 
享 服务 来 深入 了 解 Samba 服务 程序 中 相关 参数 的 作用 ;还 讲解 了 如 何 配置 网 络 文件 系 
统 (Network File System，NFS ) 服务 来 简化 Linux 系统 之 间 的 文件 共享 工作 ， 以 及 通 
过 部 署 NFS 服务 在 多 台 Linux 系统 之 间 挂 载 并 使 用 资源 。 

第 13 章 ， 使 用 BIND 提供 域名 解析 服务 : 本 章 讲解 了 DNS 域名 解析 服务 的 原理 以 及 
作用 , 介绍 了 域名 查询 功能 中 正 向 解析 与 反 向 解析 的 作用 , 实践 部 署 了 DNS 主 服务 器 、 
DNS 从 服务 器 、DNS 缓存 服务 器 ， 并 通过 实验 的 方式 演示 了 如 何在 DNS 主 服务 器 上 
部 署 正 、 反 解析 工作 模式 ， 以 便 让 大 家 深刻 体会 到 DNS 域名 查询 的 便利 和 强大 。 

第 14 章 ， 使 用 DHCP 动态 管理 主机 地 址 : 本 章 讲解 了 动态 主机 配置 协议 的 作用 ， 以 
及 在 Linux 系统 中 配置 部 署 dhcpd 服务 程序 的 方法 ， 剖 析 了 dhcpd 服务 程序 配置 文件 
内 每 个 参数 的 作用 ， 并 通过 自动 分 配 卫 地 址 、 绑 定 卫 地 址 与 MAC 地 址 等 实验 ， 让 
各 位 读者 更 直观 地 体会 DHCP 协议 的 强大 之 处 。 

第 15 章 ， 使 用 Postifx 与 Dovecot 部 署 邮件 系统 : 本 章 介 绍 了 SMTP、POP3、IMAP4 等 
常见 的 电子 邮件 协议 ,， 以 及 MUA、MTA、MDA 这 三 种 服务 角色 的 作用 ; 还 完整 地 演示 
了 在 Linux 系统 中 使 用 Postfix 和 Dovecot 服务 程序 配置 电子 邮件 系统 服务 的 方法 ， 重 点 
讲解 了 常用 的 配置 参数 , 此 外 将 结合 BIND 服务 程序 提供 的 DNS 域名 解析 服务 来 验证 客 
户 端 主机 与 服务 器 之 间 的 邮件 收发 功能 ; 最 后 还 介绍 了 如 何在 电子 邮件 系统 中 设置 用 户 
别名 ， 以 帮助 大 家 在 生产 环境 中 更 好 地 控制 、 管 理 电子 邮件 账户 以 及 信箱 地 址 。 

第 16 章 , 使 用 Squid 部 署 代理 缓存 服务 : 本 章 介 绍 了 代理 服务 的 原理 以 及 作用 、Squid 
服务 程序 正 向 解析 和 反 向 解析 的 理论 以 及 配置 方法 。 在 掌握 了 Squid 服务 程序 的 标准 
正 向 代理 模式 、 透 明正 向 代理 模式 .访问 控制 列表 功能 以 及 反 向 代理 等 实用 功能 之 后 ， 
读者 不 但 可 以 进一步 理解 代理 服务 ,提升 服务 控制 能 力 , 而且 在 步 和 人 运 维 岗 位 后 能 够 
游 丸 有 余地 人 处理 相关 问题 。 

第 17 章 , 使 用 iSCSI 服务 部 署 网 络 存储 : 本 章 开 篇 介绍 了 计算 机 硬件 存储 设备 的 不 同 接 
口技 术 的 优 缺 点 , 并 由 此 切入 iSCSI 技术 主题 的 讲解 。 本章 还 将 带领 大 家 在 Linux 系统 上 
部 署 iSCSI 服务 端 程序 , 并 分 别 基于 Linux 系统 和 Windows 系统 来 访问 远程 的 存储 资源 。 
第 18 章 , 使 用 MariaDB 数据 库 管 理 系统 : 本 章 介绍 了 数据 库 以 及 数据 库 管 理 系统 的 
理论 知识 ， 然 后 介绍 了 MariaDB 数据 库 管 理 系统 的 内 容 ， 接 下 来 将 通过 动手 实验 的 
方式 ， 帮 助 各 位 读者 掌握 MariaDB 数据 库 管 理 系统 的 一 些 常规 操作 ; 最 后 还 介绍 了 
数据 库 的 备份 与 恢复 方法 。 

第 19 章 ， 使 用 PXE+Kickstart 无 人 值守 安装 服务 : 本 章 介绍 了 可 以 实现 无 人 值守 安装 服 
务 的 PXE+Kickstart 服务 程序 ， 并 带领 大 家 动手 安装 部 署 PXE + TFIP + FIP + DHCP + 
Kickstart 等 服务 程序 ， 从 而 搭建 出 一 套 可 批量 安装 Linux 系统 的 无 人 值守 安装 系统 。 在 学 
完 本 章 内 容 之 后 , 运 维新 手 就 可 以 避免 村 燥 乏 味 的 重复 性 工作 , 大 大 提高 系统 安装 的 效率 。 
第 20 章 ， 使 用 LNMP 架构 部 署 动态 网 站 环境 : LNMP 动态 网 站 部 署 架构 是 一 套 由 
Linux + Nginx + MySQL + PHP 组 成 的 动态 网 站 系统 解决 方案 ， 具 有 免费 、 高 效 、 扩 
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展 性 强 且 资 源 消耗 低 等 优良 特性 。 本 章 首 先 对 比 了 使 用 源码 包 安 装 服务 程序 与 使 用 
RPM 软件 包 安 装 服务 程序 的 区 别 ， 然 后 讲解 了 如 何 手工 编译 源码 包 并 安装 各 个 服务 
程序 ， 以 及 如 何 使 用 Discuz! X3.2 版 本 论坛 系统 验证 架构 环境 。 
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QQ 技术 交流 群 ， 群 内 读者 已 超过 5 万 人 ; 微 信 公 众 号 也 从 0 做 到 了 10 万 粉丝 ,这 些 都 是 此 前 中 
国 任何 一 本 技术 类 电子 图 书 没有 达到 的 高 度 和 成 就 。 尤 其 在 最 近 一 年 ， 我们 的 发 展 速度 远 远 领先 
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读者 服务 


本 书 是 一 本 注重 实用 性 的 Linux 技术 自学 图 书 ， 自 电子 版 公布 后 日 均 阅 读 量 近 万 次 。 本 
书 以 及 后 续 的 进 阶 篇 图 书 将 继续 一 如 既往 地 免费 、 完 整地 提供 给 各 位 读者 。 当 前 ， 我 们 正在 
世界 各 地 部 署 图 书 配套 站 点 的 镜像 服务 器 ， 旨 在 用 最 快 的 网 站 响应 速度 满足 您 心中 那个 求知 
的 小 宇 害 。 此 外 ， 我 们 的 团队 成 员 在 完善 、 更 新 本 书 内 容 以 及 配套 软件 的 同时 ， 还 将 为 您 收 
集 、 整 理 值得 每 天 一 看 的 “新 闻 资 讯 ” 和 “技术 干货 ”。 当 然 ， 也 欢迎 您 到 我 们 的 QQ 技术 
群 (http://www.linuxprobe.com/club ) 中 寻找 技术 大 牛 ! 

而 这 一 切 的 便利 与 服务 ， 只 差 您 现在 的 一 个 选择 ， 赶 紧 拿 起 手机 扫描 下 面 的 微 信 二 维 码 吧 。 


































































































































































































编辑 手记 





与 刘 吐 老师 初次 相识 是 在 2016 年 。 当 时 因为 自身 的 工作 性 质 使 然 , 每 天 都 在 网 络 上 四 处 
上 圈 逛 ， 寻 求 一 些 可 以 拿 来 进行 纸 质 出 版 的 资源 ， 并 时 刻 幻 想 着 哪 一 天 也 能 捡 到 个 宝 ， 证 我 有 
机 会 打造 一 本 有 爆 款 潜力 的 高 质量 精品 图 书 。 

直到 有 一 天 ， 偶 然 冯 入 刘 六 老师 运营 的 www.linuxprobe.com 网 站 ， 看 到 他 精心 编写 的 本 
书 同名 线 上 教程 以 及 真实 用 户 的 全 五 星 好 评 ， 不 由 地 心中 暗 喜 “天 不 负 我 ”! 于 是 ， 马 不 停 
蹄 地 给 刘 北 老师 发 邮件 、 加 QQ， 商 讨 合作 事宜 。 终 于 ,在 不 亚 于 “求职 面试 ”难度 的 多 轮 沟 
通 之 后 ， 我 们 在 与 兄弟 出 版 社 的 竞争 中 脱颖而出 ， 赢 得 了 刘 老 师 的 “芳心 ”。 然 后 才 有 了 大 
家 现在 看 到 的 这 本 打 着 “异步 社区 ”LOGO 的 《Linux 就 该 这 么 学 》。 

在 本 书写 作出 版 期 间 ， 我 经 常会 与 刘 造 老师 进行 交流 ， 讨 论 稿 件 本 身 的 问题 、 封 面 设 计 
事宜 ， 以 及 后 期 的 营销 计划 ， 刘 老师 所 具备 的 专业 、 严 并 、 细 心 和 执行 力 让 我 深 感 折服 。 

沟通 多 了 之 后 ,话题 也 慢 慢 地 从 图 书本 身 向 外 扩展 ， 工 作 、 生 活 、 家 庭 、 课 业 都 是 我 们 
谈论 的 话题 。 慢 慢 地 ， 我 也 得 知 ， 刘 遂 老 师 早 在 高 中 时 期 便 因 为 兴趣 驱使 而 接触 到 Linux 系 
统 并 开始 学 习 运 维 技术 ， 还 先后 获得 了 红 帽 认证 管理 员 、 红 帽 认证 工程 师 以 及 最 顶级 的 红 帽 
认证 架构 师 等 证 书 。 刘 迟 老 师 对 Linux 技术 发 自 肺 脏 的 热爱 和 痴迷 ， 是 他 多 年 以 来 一 直 从 事 
Linux 系统 运 维 培训 以 及 红 帆 认证 课程 培训 的 源 动力 。 在 这 个 行业 的 长 期 浸 泽 , 也 让 他 成 长 为 
国内 开源 行业 颇具 影响 力 的 技术 大 V。 

刘 艇 老师 针对 Linux 系统 培训 的 教学 思想 相当 具有 前 上 脆性 和 独特 性 。 他 始终 认为 ， 一 名 
优秀 的 IT 技术 培训 讲师 应 该 将 技术 知识 进行 提炼 总 结 之 后 再 传授 给 学 生 ， 而 不 能 仅仅 是 一 名 
技术 知识 的 搬运 工 。 这 也 是 《Linux 就 该 这 么 学 》 的 写作 原则 。 在 本 书写 作 过 程 中 , 刘 壕 老师 
真正 做 到 了 断 舍 离 ， 他 从 真正 贴近 于 新 人 学 习 特 点 的 角度 出 发 ， 抛 弃 了 不 重要 、 不 实用 的 内 
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容 ， 着 重 将 笔墨 用 在 了 “重点 、 难 点 知识 的 讲解 ， 以 及 与 理论 基础 的 结合 、 实 践 ”方面 ， 由 
此 写 就 了 一 本 最 适合 Linux 新 手 入 门 的 教程 。 
刘 吐 老师 花费 了 近 3 年 时 间 写 作 的 这 本 《Linux 就 该 这 么 学 》， 前 后 修订 1500 余 次 , 在 

















出 版 之 前 又 拿 出 半年 时 间 再 次 修正 、 校 对 ， 这 也 从 源头 保障 了 图 书 的 品质 。 当 前 ， 本 书 电子 
版 的 日 均 访 问 量 近 10000 次 ， 累 计 在 线 阅读 人 数 已 达到 百 万 级 别 ， 是 国内 当之无愧 的 高 质量 
Linux 系统 自学 图 书 。 

本 书 基于 最 新 的 红 帽 系统 RHEL 7 编写 , 但 是 其 内 容 也 通用 于 CentOS 、Fedora 等 常见 的 
Linux 衍生 版 本 。 难 能 可 贵 的 是 ， 刘 遂 老 师 还 在 书 中 讲解 了 红 帽 认 证 考试 体系 以 及 考试 要 求 ， 
如 果 您 有 志 于 考取 红 帽 认 证 ， 也 可 以 与 刘 老 师 进一步 交流 。 

为 了 降低 各 位 读者 的 学 习 门 槛 ， 保 持 学 习 热情 ， 提 高 学 习 效 率 ， 刘 老师 对 本 书 的 内 容 编 
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排 也 是 煞费苦心 。 书 中 的 章节 内 容 会 保持 适度 的 关联 性 ， 读 者 在 按照 章节 顺序 学 习 之 时 ， 可 
以 通过 “学 新 ”而 起 到 “ 温 故 ”的 效果 。 
无 论 读者 学 习 Linux 系统 的 目的 是 出 于 兴趣 ， 还 是 为 了 谋求 一 份 高 薪 工 作 , 这 本 高 品质 、 
高 颜 值 的 《Linux 就 该 这 么 学 》 都 是 您 入 门 Linux 系统 的 首选 教程 。 

Choose it! Buy it! Read it! 









































傅 道 坤 
本 书 责任 编辑 
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第 1 章 | 


部 署 虚拟 环境 安装 Linux 系统 


本 章 讲解 了 如 下 内 容 : 


准备 您 的 工具 ; 
安装 配置 VM 虚拟 机 ; 
安装 您 的 Linux 系统 ; 

重 置 root 管理 员 密 码 ; 
RPM ( 红 帆 软件 包 管 理 器 ); 
Yum 软件 仓库 ; 
systemd 初始 化 进程 。 
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本 章 从 零 基础 详细 讲解 了 虚拟 机 软件 与 红 帽 Linux 系统 ， 完 整 演 示 了 VM 虚拟 机 的 安装 
与 配置 过 程 ， 以 及 红 帆 RHEL 7 系统 的 安装 、 配 置 过 程 和 初始 化 方法 。 此 外 , 本 章 还 涵盖 了 在 
Linux 系统 中 找 回 root 管理 员 密码 、RPM 与 Yam 软件 仓库 的 知识 ,以 及 RHEL7 系统 中 systemd 
初始 化 进程 的 特色 与 使 用 方法 。 


























| 1.1 ”准备 您 的 工具 














所 谓 “ 工 欲 善 其 事 ， 必 先 利 其 器 ”， 在 本 章 学 习 过 程 中 , 读者 需要 搭建 出 为 今后 练习 而 使 
用 的 红 帽 RHEL 7 系统 环境 。 您 不 需要 为 了 练习 实验 而 特意 再 购买 一 台新 电脑 ， 下 文 会 讲解 
如 何 通 过 虚拟 机 软件 来 模拟 出 仿真 系统 。 虚 拟 机 是 能 够 让 用 户 在 一 台 真 机 上 模拟 出 多 个 操作 
系统 的 软件 。 一 般 来 讲 当 前 主流 的 硬件 配置 足以 胜任 安装 虚拟 机 的 任务 ， 并 且 依 据 刘 遂 老师 
近 10 年 的 运 维 技术 学 习 及 多 年 的 在 线 培 训 经 验 来 看 ， 建 议 您 无 论 经 济 条 件 是 否 允 许 ， 都 不 
应 该 在 学 习 期 间 把 Linux 系统 安装 到 真 机 上 面 ， 因 为 在 学 习 过 程 中 都 免不了 要 “折腾 ”您 的 
Linux 操作 系统 。 通 过 虚拟 机 软件 安装 的 系统 不 仅 可 以 模拟 出 硬件 资源 ， 把 实验 环境 与 真 机 
文件 分 离 保 证 数据 安全 ， 更 酷 的 是 当 操作 失误 或 配置 有 误导 致 系统 异常 的 时 候 ， 可 以 快速 把 
操作 系统 还 原 至 出 错 前 的 环境 状态 ， 进 而 减少 重 装 系统 的 等 待 时 间 ( 在 真 机 上 安装 Linux 操 
作 系 统 每 次 至 少 需要 30 分 钟 )。 

最 近 几 年 在 讲课 时 ,总 会 发 现 同学 们 使 用 的 实验 环境 五 花 八 门 ， 有 CentOS, 有 RHEL 6， 
还 有 Debian 系统 等 ， 结 果 每 次 给 他 们 排 错时 都 费心 劳力 ， 苦 不 堪 言 ， 而 旦 特别 无 语 。 就 像 您 
报名 去 学 习 日 料 ， 老 师 用 柳 为 ， 您 非 要 用 长 刀 ， 结 果 寿 司 肯 定 会 被 切 的 稀 巴 烂 。 聪 明 的 学 生 
在 学 习 时 一 定 会 采用 跟 老师 一 样 的 工具 和 环境 ， 这 样 出 现 问 题 后 可 以 首先 排除 环境 问题 并 迅 































































































































































































部 署 虚拟 环境 安装 Linux 系统 


速 定位 错误 ， 等 技术 学 的 足够 扎实 了 ， 到 了 生产 环境 中 自然 也 就 具备 了 随心 选择 工具 和 环境 
的 能 力 。 所 以 尤其 建议 没有 报名 参加 刘 邀 老师 开设 的 付费 培训 班 的 同学 ， 一 定 要 充分 发 挥 自 
己 的 自学 能 力 ， 否 则 长 期 的 实验 出 错 一 定 会 影响 您 的 学 习 兴 趣 。 

另外 ， 说 来 也 很 郁闷 ， 其 实 我 在 初中 时 就 有 学 习 Linux 系统 的 打算 ， 但 那 时 候 上 网 还 不 
人 
光盘 (CD-ROM 容量 大 约 为 700MB )， 狠 下 心 买 回 家 后 尝试 安装 了 几 次 却 一 直 报错 ， 因 为 搞 
不 懂 报 错 原因 而 只 能 放弃 了 。2015 年 春节 前 打扫 屋子 时 又 翻 出 了 这 些 光 盘 ， 这 次 终于 找到 了 
当年 出 错误 的 原因 ， 原 来 是 第 五 张 光盘 被 “ 刊 花 ” 了 ， 系 统 相关 的 依赖 关系 包 被 损坏 ， 最 终 
导致 Linux 系统 安装 失败 。 原 本 可 以 早 几 年 就 可 以 接触 到 Linux 系统 ， 结 果 因 为 这 个 原因 而 
耽搁 ， 真 的 是 既 郁闷 又 槛 办 ,所 以 这 里 必须 狠 狠 地 提醒 各 位 同学 :“ 工 具 准 备 齐全 后 一 定 要 校 
验 完整 性 ， 不 要 重 蹈 我 的 履 斩 ”。 





























1.2 ”安装 配置 VM 虚拟 机 




















VMware WorkStation 虚拟 机 软件 是 一 款 桌面 计算 机 虚拟 软件 , 让 用 户 能 够 在 单一 主机 
上 同时 运行 多 个 不 同 的 操作 系统 。 每 个 虚拟 操作 系统 的 硬盘 分 区 、 数 据 配 置 都 是 独立 的 ， 
而 且 多 台 虚 拟 机 可 以 构建 为 一 个 局 域 网 。Linux 系统 对 人 硬件 设备 的 要 求 很 低 ， 我 们 没有 必 
要 再 买 一 台电 脑 , 课程 实验 用 虚拟 机 完全 可 以 搞定 , 而 且 VM 还 支持 实时 快照 、 虚 拟 网 络 、 
拖 电 文件 以 及 PXE ( Preboot Execute Environment， 预 启动 执行 环境 ) 网 络 安装 等 方便 实 
用 的 功能 。 

可 能 会 有 读者 有 疑问 “为 什么 要 用 收费 的 虚拟 机 产品 来 搭建 实验 环境 ， 而 不 是 用 一 些 免 
费 的 开源 虚拟 机 软件 呢 ? ”本 书 前 言 中 讲 到 ， 我 们 学 习 Linux 系统 的 原因 不 是 因为 它 免费 ， 
也 不 是 因为 它 开 源 ， 而 是 因为 Linux 系统 真 的 很 好 用 ， 这 个 结论 同样 也 适用 于 VMware 
Workstation 这 款 产 品 。 

运行 下 载 完 成 的 Vmware Workstation 虚拟 机 软件 包 ， 将 会 看 到 如 图 1-1 所 示 的 虚拟 机 程 
序 安 装 向 导 初 始 界面 。 
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二 正在 准备 VMware Workstation "进行 安装 .… 
3) 














图 1-1 虚拟 机 软件 的 安装 向 导 初 始 界 面 


1.2 ”安装 配置 VM 虚拟 机 
在 虚拟 机 软件 的 安装 向 导 界 面 单 击 “下 一 步 ”按钮 ， 如 图 1-2 所 示 。 
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欢迎 使 用 VMware Workstation Pro 安装 向 导 
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安装 向 号 将 在 您 的 计算 机 上 安装 VMware Workstation Pro 
* 单 击 下 一 步 汉 “取消 "退出 安装 向 导 。 
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图 1-2 虚拟 机 的 安装 向 导 


在 最 终 用 户 许可 协议 界面 选中 “我 接受 许可 协议 中 的 条 款 ” 复 选 框 ， 然 后 单 击 “下 一 步 ” 
按钮 ， 如 图 1-3 所 示 。 








i 裔 | VMware Workstation Pro 安装 [EEC 
最 终 用 户 许可 协议 Fa 
请 认真 阅读 以 下 许可 协议 


VMWARE 最 终 用 户 许可 协议 





请 注意 ， 在 本 软件 的 安装 过 程 中 无 论 可 能 会 出 现任 何 条 款 ， 
使 用 本 软件 都 将 受 此 最 终 用 户 许可 协议 各 条 款 的 约束 。 


重要 信息 ， 请 仔细 阅读 ， 您 一 旦 下 载 、 安 装 或 使 用 本 软件 ， 
您 (自然 人 或 法 人 ) 即 同意 接受 本 最 终 用 户 许可 协议 (“本 
协议 ”) 的 约束 。 如 果 您 不 同意 本 协议 的 条 款 ， 请 勿 下 载 、 
安装 或 使 用 本 软件 ， 您 必须 朋 除 本 软件 ， 或 在 三 十 (30) 坟 _ > 


加 我 接受 许可 协议 中 的 条 款 (A) 





| 打 Eh(P) ] [ 上 一 步 6) |[ 下 一 步 (Vy) 取消 














图 1-3 ”接受 许可 条 款 





选择 虚拟 机 软件 的 安装 位 置 ( 可 选择 默认 位 置 ) 选中 “增强 型 键盘 驱动 程序 ” 复 选 框 后 
单 击 “ 下 一 步 ”按钮 ， 如 图 1-4 所 示 。 

根据 自身 情况 适当 选择 “启动 时 检查 产品 更 新 ”与 “帮助 完善 VMware Workstation Pro” 
复 选 框 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 1-5 所 示 。 

选中 “桌面 ”和 “开始 菜单 程序 文件 夹 ” 复 选 框 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 1-6 
所 示 。 
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划 VMware Workstation Pro 安装 onl 
自 定义 安装 一 
选择 安装 目标 及 任何 其 他 功能 。 
安装 位 置 : 
ER Files (x86)WMwareWMware Workstation\ 








< 





增强 型 键盘 驱动 程序 (需要 重新 引导 以 使 用 此 功能 但 ) 
此 功能 要 求 主机 驱动 器 上 有 具有 10MB 空间 。 














图 1-4 选择 虚拟 机 软件 的 安装 路 径 


| 项 VMware Workstation Pro 安装 一 
用 户 体验 设置 
编辑 默认 设置 以 提高 您 的 用 户 体验 。 


启动 时 检查 产品 更 新 (C0) 
全 we Workstation Pro 启动 时 ， 检 查 应 用 程序 和 已 安装 软件 组 件 是 否 























帮助 完善 VMware Workstation Pro(H) 
向 VMware 发 送 匿 名 系统 数据 和 使 用 情况 统计 信息 。 

















图 1-5 虚拟 机 的 用 户 体验 设置 


划 VMware Workstation Pro 安装 "let 


快捷 方式 人 
选择 您 要 放 入 系统 的 快捷 方式 。 


在 以 下 位 置 创建 YMware Workstation Pro 的 快捷 方式 : 
MV 桌面 (C) 
可 开始 荣 单程 序 文 件 夹 (3) 






































图 1-6 虚拟 机 图 标的 快捷 方式 生成 位 置 
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一 切 准备 就 绪 后 ， 单 击 “ 安 装 ” 按 钮 ， 如 图 1-7 所 示 。 


进入 安装 过 程 ， 此 时 要 做 的 就 是 耐心 等 待 虚拟 机 软件 的 安装 过 程 结 束 ， 如 图 1-8 所 示 。 


大 约 5 一 10 分 钟 后 ， 虚 拟 机 软件 便 会 安装 完成 ， 然 后 再 次 单 击 


所 示 。 


| 揽 VMware Workstation Pro 安装 





已 准备 好 安装 VMware Workstation Pro 


单 击 安 装 开 始 安装 。 单 击 ' 上 一 步 查 看 或 更 次 任何 安装 设置 。 单 击 " 取 消 "退出 向 








[上 一步 6) |[ 去 装 @ |] | 取消 | 











图 1-7 准备 开始 安装 虚拟 机 





(== lm) 


| 划 VMware Workstation Pro 安装 





正在 安装 VMware Workstation Pro 


安装 向 导 正 在 安装 VMware Workstation Pro， 请 稍 候 。 


状态 : 正在 复制 新 文件 


划 

















图 1-8 等待 虚拟 机 软件 安装 完成 


“完成 ”按钮 ， 如 图 1-9 


双击 桌面 上 生成 的 虚拟 机 快捷 图 标 , 在 弹出 的 如 图 1-10 所 示 的 界面 中 ,输入 许可 证 密 钥 ， 
或 者 选择 试用 之 后 ， 单 击 “ 继 续 ” 按 钮 (这 里 选择 的 是 “我 希望 试用 VMware Worksatation 12 


30 天 ” 复 选 框 )。 
在 出 现 “ 欢 迎 使 用 VMware Workstation 12” 界 面 后 ， 单 击 “ 完 成 ”按钮 ， 如 图 1-11 


所 示 。 




















在 桌面 上 再 次 双击 快捷 方式 ， 此 时 便 看 到 了 虚拟 机 软件 的 管理 界面 ， 如 图 1-12 所 示 。 
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草 VMware Workstation Pro 安装 -I 





VMware Workstation Pro 安装 向 导 已 完成 


WOR P40 Re 单 击 完 成 按钮 退出 去 装 向 号 。 
PRO 


ig 


网 的 人 许可 正史 二 请 按 下 面 的 * 许 可 证 ' 按 














图 1-9 虚拟 机 软件 安装 向 导 完 成 界面 




















































| 欢迎 使 用 VMware Workstation 12 => | | 欢迎 使 用 VMware Workstation 12 Ee | 
回 VMware Workstation 12 回 VMware Workstation 12 
我 有 VMware Workstation 12 的 许可 证 密 钥 (H): 感谢 您 评估 VMware Workstation 12! 
三 VMware Workstation 12 是 最 先进 的 诺 摧 化 软件 ， 广泛 支持 多 种 
操作 系统 ， 可 提供 极其 丰富 的 卓 面 用 户 体验 
是 否 需要 许可 证 密 钥 ? 
立即 购买 我 们 相信 和 您 一 定 会 发 现 VMware Workstation 12 应 用 程序 将 成 为 
您 提高 生产 效率 、 开 展业 务 所 不 可 或 缺 的 利器 。 

@ 我 希望 试用 VMware Workstation 12 30 天 (W) 评估 期 到 期 后 ， 您 可 以 通过 VMware 在 线 商店 或 我 们 的 代理 商 风 

输入 有 效 的 电子 邮件 地 址 ， 开 始 为 期 30 天 的 免费 试用 。 您 同 买 许可 证 密 铀 。 

意 接收 VMware 发 送 的 关于 VMware Workstation 的 促销 电 
子 邮件 。 
root@linuxprobe.conl| 
国 继 入 (QO 取消 
图 1-10 虚拟 机 软件 许可 验证 界面 图 1-11 虚拟 机 软件 的 感谢 界面 
VMware Workstation (= © me 
文件 昌 。 纺 泗 旧 。 喜 看 WV) 虚拟 机 M) 这 项 FWD 帮助) | -| 二 | | 加 是 宇 
库 x 
Q、 在 此 处 链 入 内 容 进行 .。 ~ 
男 我 的 计算 机 
印 共享 的 虚拟 机 疮 您 的 评估 期 将 在 30 天 后 结束 。 1 获取 许可 证 密 钥 2. 输 入 许可 证 密 钥 


WORKSTATION 12 


十 四 的 O 


创建 新 的 虚拟 机 打开 虚拟 机 连接 远程 服务 器 连接 到 VMware 
vCloud Air 









































图 1-12 虚拟 机 软件 的 管理 界面 
注意 ,在 安装 完 虚 拟 机 之 后 ,不 能 立即 安装 Linux 系统 ， 因 为 还 要 在 虚拟 机 内 设置 操 
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作 系统 的 硬件 标准 。 只 有 把 虚拟 机 内 系统 的 硬件 资源 模拟 出 来 后 才 可 以 正式 步 人 Linux 系 
统 安装 之 旅 。VM 虚拟 机 的 强大 之 处 在 于 不 仅 可 以 调 取 真实 的 物理 设备 资源 ， 还 可 以 模拟 
出 多 网 卡 或 硬盘 等 资源 ， 因 此 完全 可 以 满足 大 家 对 学 习 环境 的 需求 ， 再 次 强调 ， 真 的 不 用 
特意 购买 新 电脑 。 

在 图 1-12 中 ， 单 击 “ 创 建新 的 虚拟 机 ”选项 ， 并 在 弹出 的 “新 建 虚拟 机 向 导 ” 界 而 中选 
择 “ 典 型 ” 单 选 按钮 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 1-13 所 示 。 
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欢迎 使 用 新 建 虚拟 机 向 导 
WORKSTRYTION; 您 浸 望 使 用 什么 类 型 的 本 置 ? 
PRO | p> 

名 典型 (推荐 )(T) 


通过 几 个 简单 的 步 又 创建 Workstation 12.0 
虚拟 机 。 


了 自 定义 (高 级 )(C) 
创建 带 有 5C5I 控制 器 类 型 、 虚 拟 磁盘 类 型 
以 及 与 旧版 VMware 产品 兼容 性 等 高 级 选项 
的 虚拟 机 。 








帮助 上 一 步 (B) | (FE 上 (NW)>) [Wd 
图 1-13 ”新建 虚拟 机 向 导 

选中 “ 稍 后 安装 操作 系统 ” 单 选 按钮 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 1-14 所 示 。 
新 建 虚拟 机 向 导 [| 


安装 客户 机 操作 系统 
虚拟 机 如 同 物理 机 ， 需 要 操作 系统 。 您 将 如 何 安 装 客户 机 操作 系统 ? 




















安装 来 源 : 
安装 程序 光盘 (D): 


无 可 用 驱动 器 





安装 程序 光盘 映像 文件 (so 人 M): 


F:\ISO images\RHEL-server-7.0-x86_64-LinuxProbe.Com 剂 览 (R 


@ 稍 后 安装 操作 系统 (5)。 
创建 的 虚拟 机 将 包含 一 个 空白 硬盘 。 











[上 一 步 B) | [下 - 步 (N)> | [取消 | 
图 1-14 ”选择 虚拟 机 的 安装 来 源 
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在 近 几 年 的 讲课 过 程 中 真是 遇 到 了 很 多 不 听话 的 学 生 ， 明 明 要 求 选 择 “ 稍 后 安装 
操作 系统 ” 单 选 按钮 ， 结 果 非 要 选择 “安装 程序 光盘 镜像 文件 ” 单 选 按钮 ， 并 把 下 载 
好 的 RHEL 7 系统 的 镜像 选中 。 这样 一 来 ,虚拟 机 会 通过 默认 的 安装 策略 为 您 部 署 最 精 
简 的 Linux 系统 ， 而 不 会 再 向 您 询问 安装 设置 的 选项 。 

如 果 您 是 购买 图 书 自行 学 习 的 话 , 请 一 定 不 要 低估 后 续 实验 的 难度 和 Linux 知识 体 
系 的 难度 ， 更 不 要 高 估 自 己 的 自学 和 排 错 能 力 ， 否 则 可 能 会 因为 系统 长 期 报错 而 表 失 
学 习 兴 趣 , 得不偿失 。 对 于 经 济 条 件 允许 、 有 意愿 深入 了 解 Linux 系统 并 考取 红 帆 RHCE 
的 同学 ， 可 以 看 一 下 刘 递 老师 主讲 的 培训 介绍 : http://www.linuxprobe.com/training。 





在 图 1-15 中 ,将 客户 机 操作 系统 的 类 型 选择 为 Linux”, 版 本 为 “Red Hat Enterprise Linux 
7 64 位 ”， 然 后 单 击 “下 一 步 ”按钮 。 





新 建 庶 拟 机 向 导 [| 


选择 客户 机 操作 系统 
此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 





客户 机 操作 系统 


Microsoft Windows(W) 
© Linux(L) 
Novell NetWare(E) 
3 Solaris(5) 
I VMware ESX(X) 
其 他 (0) 


版 本 (V) 


|Red Hat Enterprise Linux 7 64 位 














[< 上 一步 B) | [下 一 步 (N)> | | 取消 | 
图 1-15 ”选择 操作 系统 的 版 本 




















填写 “虚拟 机 名 称 ” 字 段 ， 并 在 选择 安装 位 置 之 后 单 击 “ 下 一 步 ”按钮 ， 如 图 1-16 
所 示 。 

将 虚拟 机 系统 的 “最 大 磁盘 大 小 ”设置 为 20.0GB (默认 即 可 )， 然 后 单 击 “ 下 一 步 ” 按 
钮 ， 如 图 1-17 所 示 。 

单 击 “ 自 定义 硬件 ”按钮 ， 如 图 1-18 所 示 。 
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新 建 虚拟 机 向 导 [| 新 建 庶 拟 机 向 导 [| 
命名 虚拟 机 指定 磁盘 容 里 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 磁盘 大 小 为 多 少 ? 
虚拟 机 名 称 (V): 虚拟 机 的 硬盘 作为 一 个 或 多 个 文件 存 傅 在 主机 的 物理 磁盘 中 。 这 些 文件 最 初 很 
> 小 ， 随 着 您 向 虚拟 机 中 添加 应 用 程序 、 文 件 和 数据 而 逐渐 变 大 。 
Linux 就 该 这 和 学 一 实验 环境 
位置 (D: 最 大 磁盘 大 小 (GB)(S): 20.0 试 
Fi\VmwareWorkStation\LINUX\LinuxPprobe 针对 Red Hat Enterprise Linux 7 64 位 的 建议 大 小 : 20 GB 


在 编辑 > 首选 项 中 可 更 改 默认 位 置 * 


口 将 虚拟 磁盘 存储 为 单个 文件 (0) 

回 将 虚拟 磁盘 拆 分 成 多 个 文件 (M) 
和 可 以 更 轻松 地 在 计算 机 之 间 移 动 虚拟 机 ， 但 可 能 会 降低 大 容量 磁盘 的 
性 肥 。 








[<L- 上 (8) | [下 =- 步 )>] | 


取消 














] [帮助 |] [< 上 ~- 步 (8) | [下 - 步 (N)> ] | 取消 ”| 














新 建 庶 拟 机 向 导 


图 1-16 命名 虚拟 机 及 设置 安装 路 径 





图 1-17 虚拟 机 最 大 磁盘 大 小 





已 准备 好 创建 虚拟 机 


单 击 "完成 他 | 建 虚拟 机 。 然 后 可 以 安装 Red Hat Enterprise Linux 7 64 位 。 




















将 使 用 下 列 设置 创建 虚拟 机 : 
名 称 : Linux 就 该 这 和 学 一 实验 环境 
位 置 : F:\VmwareWorkStation\LINUX\LinuxProbe 
版 本 : Workstation 12.0 
操作 系统 : Red Hat Enterprise Linux 7 64 位 
硬盘 : 20 GB, 拆 分 
内 存 : 2048 MB 
网 络 适 配器 : NAT 
其 他 设备 : CD/DVD, USB 控制 器 , 打印 机 , 声卡 
自 定 炎 硬件 (C)..， ”| 








Et-$() | CC 庆 | GE Wd 











图 1-18 虚拟 机 的 配置 界面 


在 出 现 的 图 1-19 所 示 的 界面 中 , 建议 将 虚拟 机 系统 内 存 的 可 用 量 设置 为 2GB, 最 低 不 应 
低 于 1GB。 如 果 自 己 的 真 机 设备 具有 很 强 的 性 能 ， 那么 也 建议 将 内 容量 设置 为 2GB ， 因 为 将 
虚拟 机 系统 的 内 存 设置 得 太 大 没有 必要 。 








= 
BC 
yc 汪 


图 1-20 所 示 。 





根据 您 真 机 的 性 能 设置 CPU 处 理 器 的 数量 以 及 每 个 处 理 器 的 核心 数量 , 并 开启 虚拟 化 功 


部 署 虚拟 环境 安装 Linux 系统 











看 件 TR 
设备 摘要 内 存 
本 分 隐 给 此 册 拉 机 扑 内 丰 轩 2 的 和 大 小 必 朋 为 生 阳 9 
器 处 理 器 1 和 
ee SAT 此 虚拟 机 的 内 存 (M): 。 2048 二 | MB 
USB 控制 器 存在 
时 声卡 自动 检测 he 
号 打印 机 存在 
国 显 示 器 自动 检测 Se _。 量 有 大 建议 
4GB (超出 此 大 小 可 能 
2CB 已 4 发生 内 存 交换 。) 
1G8 大 6336 MB 
Mey 建议 内 存 
oe 2048 MB 
128 MB 
5 口 建议 的 最 小 客户 机 操作 系统 内 存 
SN 1024 MB 
16 MB 
8MB 
4MB 
















已 虚拟 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内 存 。 您 可 以 
在 "显示 器 “设置 页 面 中 更 羽 此 数量 。 











国 添 加 (A).… 移 除 (R) 











世 关 一] [一 种 





图 1-19 设置 虚拟 机 的 内 存量 



































硬件 一 一 
设备 摘要 处 理 器 
村 内 存 2 6GB 处 理 器 数 里 (p): 
同 处 理 器 8 RE 
同 新 CD/DVD (SAT..， 自动 检测 每 1 me ) 
刚 网 络 适配器 NAT 处 理 器 核心 总 数 : 8 
图 USB 控制 器 存在 
吧 声 卡 自动 检测 虚拟 化 引擎 
起 打印 机 存在 首选 模式 (M): [自动 司 | 
ens Ei 避 针 用 二 进 制 转换 加 党 (0D) 
虚拟 AMD-V/RVI(V) 
AD 


























轩 添 加 (A).… 





移 除 (R) 














ET 仁和 





图 1-20 ”设置 虚拟 机 的 处 理 需 参数 


光驱 设备 此 时 应 在 “使 用 ISO 镜像 文件 ”中 选中 了 下 载 好 的 RHEL 系统 镜像 文件 ， 如 图 
1-21 所 示 。 
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硬件 Ce 

设备 摘要 设备 状态 
更 内 存 2 6GB 口 已 连接 (C) 
辐 处 理 器 8 局 启动 时 连接 (D) 
辆 新 cD/DVD (SAT.… 自动 检测 
刚 网 络 适 配器 NAT 连接 
USB 控制 器 存在 个 使 用 物理 驱动 器 (P): 

) 声 卡 自动 检测 = 
起 打印 机 存在 四 吉村 测 "| 
转 显 示 器 自动 检测 回 使 用 I50 映像 文件 (M): 

F:\1SO images\RHEL-server- v | 浏览 (B)..。 | 


























国 添 加 (A).…. | | 移 除 (R) 


























图 1-21 设置 虚拟 机 的 光驱 设备 


VM 虚拟 机 软件 为 用 户 提供 了 3 种 可 选 的 网 络 模式 ， 分 别 为 桥接 模式 、NAT 模式 与 仅 主 
机 模式 。 这 里 选择 “ 仅 主 机 模式 ”， 如 图 1-22 所 示 。 





























硬件 _ [ee 
设备 摘要 设备 状态 
到 内 存 26GB 已 连接 (C) 
器 处 理 器 8 同 启动 时 连接 (0) 
全 新 CD/DVD (SAT... 正在 使 用 文件 F:\15O images\RHEL-s... 
网 络 适 丁 器 公主 机 模式 网 络 连 接 
mt 控制 器 存在 日 桥接 模式 (B): 直接 连接 物理 网 络 
) 声卡 自动 检测 i 
Ep 入 在 中 复制 物理 网 络 连 接 状 态 (P) 
转 显 示 器 自动 检测 加 NAT 模式 (N): 用 于 共享 主机 的 人 P 地 址 


图 公主 机 模式 (H): 与 主机 共享 的 专用 网 络 
外 自 定义 (U): 特定 虚拟 网 络 


VMnet0 (自动 桥接 ) 了 | 
© LAN 区 段 (LU): 

















| LAN 区 段 (5).… | [ 高 级 (V).… 




















[ 国 汪 hn(A)... | |。 移 I(R) 














者 助 
图 1-22 ”设置 虚拟 机 的 网 络 适配器 
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> 桥接 模式 : 相当 于 在 物理 主机 与 虚拟 机 网 卡 之 间架 设 了 一 座 桥梁 ,从 而 可 以 通过 物理 


主机 的 网 卡 访问 外 网 。 











> NAT 模式 : 让 VM 虚拟 机 的 网 络 服务 发 挥 路 由 咒 的 作用 ， 使 得 通过 虚拟 机 软件 模拟 


的 主机 可 以 通过 物理 主机 访问 外 网 ， 在 真 机 中 NAT 虚拟 机 网 卡 对 应 的 物理 网 卡 





VMnet8。 





是 


> 仅 主 机 模式 : 仅 让 虚拟 机 内 的 主机 与 物理 主机 通信 ， 不 能 访问 外 网 ,在 真 机 中 仅 主 机 
模式 模拟 网 卡 对 应 的 物理 网 卡 是 VMnetl。 
把 USB 控制 器 、 声 卡 、 打 印 机 设备 等 不 需要 的 设备 统统 移 除 掉 。 移 掉 声 卡 后 可 以 避 





免 在 输入 错误 后 发 出 提示 声音 ， 


按钮 ， 如 图 1-23 所 示 。 



































硬件 [X= 
设备 摘要 3D 图 形 
更 内 存 2 GB 加速 3D 图 形 (3) 
癌 处 理 器 8 
司 新 CD/DVD (SAT..。 正 在 使 用 文件 F\ISO images\RHEL-s..，| 监视 器 
鲍 网 络 适 本 器 如 主机 模式 @ 将 主机 设置 用 于 监视 器 (U) 
国 显 示 器 自动 检测 指定 监视 器 设置 (5): 
监视 器 数量 (N): 
1 
任意 监视 器 的 最 大 分 辨 率 (M): 
2560 x 1600 
图 形 内 存 
图 形 内 存 可 用 的 最 大 客户 机 内 存量 (X): 
|768 MB (推荐 ) ~ 
辆 添加 (A)… 
[关闭 ] | 者 助 
































图 1-23 最终 的 虚拟 机 配置 情况 











确保 上 自己 在 今后 实验 中 思绪 不 被 打扰 。 然 后 单 击 “关闭 ” 


返回 到 虚拟 机 配置 向导 界面 后 单 击 “ 完 成 ”按钮 ， 如 图 1-24 所 示 。 虚 拟 机 的 安装 和 配置 


顺利 完成 。 








当 看 到 如 图 1-25 所 示 的 界面 时 ， 就 说 明 您 的 虚拟 机 已 经 被 配置 成 功 了 。 接 下 来 准备 步 人 


属于 您 的 Linux 系统 之 旅 吧 。 








新 建 庶 拟 机 向 导 


1.2 安装 配置 VM 虚拟 机 


一 区 一 





已 准备 好 创建 虚拟 机 
单 击 ` 完 成 “创建 虚拟 机 。 然 后 可 以 安装 Red Hat Enterprise Linux 7 64 位 。 


将 使 用 下 列 设置 创建 虚拟 机 : 
名 称 : Linux 就 该 这 汉学 一 实验 环境 
位 置 : F:\VmwareWorkStation\LINUX\LinuxProbe 
版 本 : Workstation 12.0 
操作 系统 : Red Hat Enterprise Linux 7 64 位 
硬盘 : 20 GB, 拆 分 
内 存 : 2048 MB 
网 络 适 配器 : 仅 主 机 模式 
其 他 设备 : 8 个 CPU 核心 , CD/DVD 












































[< 上 - 步 B) | [| 完成 |][ 取消 | 
图 1-24 结束 虚拟 机 配置 向 导 
回 Unux 训 流 这 么 于 一 实 若 环境 - VMware Workstation i le i | 
文件 昌 。 需 号 四。 重大 0V) 并 扣 #M) 。 运 磊 卡 (D 首 盈 (H) - 国 | 癌 加 
主页 Linux 议 恋 这 么 学 一 实验 一 
Linux 就 该 这 汉学 一 一 实验 环境 














图 1-25 虚 


| 





拟 机 配置 成 功 的 界 画 
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1.3 ”安装 您 的 Linux 系统 




















安装 RHEL 7 或 CentOS 7 系统 时 ， 您 的 电脑 的 CPU 需要 支持 VT ( Virtualization 





Technology， 虚 拟 化 技术 )。 所 谓 VT， 指 的 是 让 单 台 计算 机 能 够 分 割 出 多 个 独立 资源 




















区 ， 并 让 每 个 资源 区 按照 需要 模拟 出 系统 的 一 项 技术 ， 其 本 质 就 是 通过 中 间 层 实现 计 























算 机 资源 的 管理 和 再 分 配 ， 让 系统 资源 的 利用 率 最 大 化 。 其 实 只 要 您 的 电脑 不 是 五 六 
年 前 买 的 ， 价 格 不 低 于 三 千 元 ， 它 的 CPU 就 肯定 会 支持 VT 的 。 如 果 开 启 虚拟 机 后 依 
然 提示 “CPU 不 支持 VT 技术 ”等 报错 信息 ,请 重启 电脑 并 进入 到 BIOS 中 把 VT 虚拟 
化 功能 开启 即 可 。 












































在 虚拟 机 管理 界面 中 单 击 “ 开 启 此 虚拟 机 ”按钮 后 数秒 就 看 到 RHEL 7 系统 安装 界面 ， 














如 图 1-26 所 示 。 在 界面 中 ，Test this media & install Red Hat Enterprise Linux 7.0 和 
Troubleshooting 的 作用 分 别 是 校 验光 盘 完 整 性 后 再 安装 以 及 启动 救援 模式 。 此 时 通过 键盘 的 
方向 键 选 择 Install Red Hat Enterprise Linux 7.0 选项 来 直接 安装 Linux 系统 。 





























Red Hat Enterprise Linux 7.8 


Install Red Hat Enterprise Linux 7.98 
Test this media & install Red Hat Enterprise Linux 7.0 


Troubleshoot ing 








图 1-26 RHEL7 系统 安装 界 录 























接 下 来 按 回 车 键 后 开始 加 载 安装 镜像 , 所 需 时 间 大 约 在 30 一 60 秒 , 请 耐心 等 待 , 如 图 1-27 





所 示 。 


选择 系统 的 安装 语言 后 单 击 Continue 按钮 ， 如 图 1-28 所 示 。 








请 读者 不 用 担心 英语 基础 的 问题 ,因为 Linux 系统 中 用 的 Linux 命令 具有 特定 的 功 
能 和 意义 ， 而 非 英语 单词 本 身 的 意思 。 比 如 free 的 意思 是 “自由 ”、“ 免 费 ”， 而 free 命 
令 在 Linux 系统 中 的 作用 是 查看 内 存 使 用 量 。 因 此 即便 是 英语 水 平 很 高 ， 只 要 没有 任 
何 Linux 基础 知识 , 在 看 到 这 些 Linux 命令 后 也 需要 重新 学 习 。 再 者 ， 把 系统 设置 成 英 
文 后 还 可 以 锻炼 一 下 英语 阅读 能 力 ， 不 知 不 觉 地 就 把 Linux 系统 和 英文 一 起 学 了 ， 岂 
不 是 更 好 ? ! 如 果 您 执意 选择 中 文安 装 语言 ， 也 可 以 在 图 1-28 中 进行 选择 。 


安装 您 的 Linux 系统 


9 is write-protected, mounting read-only 
e hook 

cut pre-mount hook. 

ut pre-mount hook 


om . 
the Real Root.. 
the Real Root. 








图 1-27 ”安装 向 导 的 初始 化 界 画 














redhat 


WELCOME TO RED HAT ENTERPRISE LINUX 7.0. 


uld you Lik 


EE ps 9 
| English ， Engl ee 








图 1-28 选择 





系统 的 安装 
在 安装 界面 中 单 击 SOFTWARE SELECTION 选项 ， 如 图 1-29 所 示 。 

RHEL 7 系统 的 软件 定制 界 面 可 以 根据 用 户 的 需求 来 调整 系统 的 基本 环境 ， 例 如 把 Linux 
系统 用 作 基 础 服务 器 、 文 件 服务 器 、Web 服务 器 或 工作 站 等 。 此 时 您 只 需 在 界面 中 单 击 选 9 
Server with GUI 单 选 按钮 ， 然 后 单 击 左上 和 角 的 Done 按钮 即 可 ， 如 图 1-30 所 示 。 








D 





之 前 看 过 一 个 新 闻 ， 说 是 苹果 公司 菜 员工 在 iOS 系统 的 用 户 说 明 书 末尾 加 了 一 句 

“反正 你 们 也 不 会 去 看 ”"。 其 实 这 件 事情 有 时 候 也 可 以 用 来 调侃 部 分 读者 的 学 习 状 态 ， 
刘 节 老师 绝 不 会 把 没 用 的 知识 写 到 本 书 中 ,但 就 是 这 样 一 张 如 此 醒目 的 蕉 图 也 总 是 有 
互 学 视 ~ 


RC ee a ne ei 了 最终 
致 很 多 命令 


入 导 
能 执行 ， 服 务 搭 建 不 成 功 。 请 一 定 留意 ! 
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INSTALLATION SUMMARY RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 
四 us 
DATE & TIME KEYBOARD 
Americas/New York timezone English (US) 


LANGUAGE SUPPORT 


English (United States) 


SOFTWARE 
INSTALLATION SOURCE SOFTWARE SELECTION 
Local media Server with GUI 
SYSTEM 
INSTALLATION DESTINATION NETWORK & HOSTNAME 
Automatic partitioning selected Nor connecred 
ou 





Ls Please complete tems marked with this icon before continuing to the next step_ 


图 1-29 ”安装 系统 界 押 























SOFTWARE SELECTION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 
Done 
Base Environment Add-Ons for Selected Environment 
Minimal Install Backup Server 
Basic functionality Software to centralize your infrastructure's 
Infrastructure Server boiuipn 


Server for operating network infrastructure services DNS Name Server 
This package group allows you to run a DNS name 


Pi nd Pi erer server (BIND) on the system 


File, print, and storage server for enterprises Directory Server 


Machine and user identity servers 


Basic Web Server E-mail Server 
Server for serving static and dynamic internet content Allows the system to act as a SMTP and/or IMAP e- 


mail server. 


Virtualization Host FTP Server 
Minimal virtualization host. Allows the system to act as an FTP server. 


© server with GUI 
Server for operating network infrastructure services, File and Storage Server 
with a GUI. CIFS, SMB, NFS, iSCSI, iSER, and iSNS network 


storage server. 


Hardware Monitoring Utilities 
A set of tools to monitor server hardware. 


图 1-30 ”选择 系统 软件 类 型 
返回 到 RHEL 7 系统 安装 主 界面 , 单 击 NETWORK & HOSTNAME 选项 后 , 将 Hostname 
字段 设置 为 linuxprobe.com， 然 后 单 击 左 上 角 的 Done 按钮 ， 如 图 1-31 所 示 。 
返回 到 安装 主 界面 , 单 击 INSTALLATION DESTINATION 选项 来 选择 安装 媒介 并 设置 分 
区 。 此 时 不 需要 进行 任何 修改 ， 单 击 左 上 角 的 Done 按钮 即 可 ， 如 图 1-32 所 示 。 


读者 可 能 会 有 这 样 的 疑问 “为 什么 我 们 不 像 其 他 Linux 图 书 那样 , 讲 一 下 手动 分 区 
的 方法 呢 ”? 原因 很 简单 ， 因 为 Linux 系统 根据 FHS ( Filesystem Hierarchy Standard ， 
文件 系统 层次 结构 标准 ) 把 不 同 的 目录 定义 了 相应 的 不 同 功能 ， 这 部 分 内 容 会 在 第 6 
章 中 详细 介绍 。 并 且 通 过 刘 嘱 老师 最 近 这 几 年 的 教学 经 验 来 看 ， 即 便 现在 写 出 了 操作 
步骤 ， 读 者 们 大 多 也 只 是 点 点 鼠标 ， 并 不 能 真正 理解 其 中 的 知识 ， 效 果 不 一 定好 ， 更 
何况 在 接 下 来 的 实验 中 ， 手 动 分 区 相对 于 自动 分 区 来 说 也 没有 明显 的 好 处 。 所 以 读者 
大 可 不 必 担 心 学 不 到 ， 我 们 书籍 的 规划 课程 章节 是 非常 科学 的 。 
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NETWORK &HOSTNAME RED HAT ENTERPRISELINUX 7.0 INSTALLATION 





Ethernet teno16777736) | Ethernet (eno16777736) [6R 


Intel Corporation PRO/1000 MT Single Port Adapter ZH 一 
PA) Disconnected 





Hardware Address O00:0C:29:36:06:F7 


Speed 1000 Mb/s 


yn l Configure... 


Hostname: 


图 1-31 配置 网 络 和 主机 名 


INSTALLATION DESTINATION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 


Ea 


Device Selection 





Select the device(s) you'd like to install to. They will be left untouched until you click on the main menu s 
“Begin Installation button. 


Local Standard Disks 
20.48 GB 
VMware, VMware Virtual S 


sda / 969.23 KB free 


Disks left unselected here will not be touched. 


Specialized & Network Disks 


Add a disk... 


Disks left unselected here will not be touched. 
Other Storage Options 
Partitioning 


鲜 Automatically configure partitioning. | will configure partitioning. 


Full disk summary and bootloader... 1 disk selected; 20.48 GB capacity; 969.23 kB free 


图 1-32 系统 安装 媒介 的 选择 


返回 到 安装 主 界面 , 单 击 Begin Installation 按钮 后 即 可 看 到 安装 进度 , 在 此 处 选择 ROOT 
PASSWORD， 如 图 1-33 所 示 。 
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CONFIGURATION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 
园 us 


"edhat 


USER SETTINGS 


ROOT PASSWORD USER CREATION 
Root password is not set 1 N No user will be created 






3 Creating Lvumpv on /dev/sda2 


WOULDN'T IT BE GREAT TO 
FOCUS ONLY ON DEVELOPING APPS? 


That's what Platform-as-a-Service is all about. redhat.com/openshift 


Ly Please complete items marked with this icon before continuing to the next step. 


图 1-33 RHEL 7 系统 的 安装 界面 


然后 设置 root 管理 员 的 密码 。 若 坚持 用 弱 口 令 的 密码 则 需要 单 击 2 次 左上 角 的 Done 按 
钮 才 可 以 确认 ， 如 图 1-34 所 示 。 这 里 需要 多 说 一 句 ， 当 您 在 虚拟 机 中 做 实验 的 时 候 ， 密 码 无 
所 谓 强 弱 ， 但 在 生产 环境 中 一 定 要 让 root 管理 员 的 密码 足够 复杂 ， 否 则 系统 将 面临 严重 的 安 
全 问题 。 














ROOT PASSWORD RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 
Wm 


The root account is used for administering the system. Enter a password for the root user 
Root Password: eeeeee 


Weak 


Confirm eeee| 


The password you have provided is weak: The password is shorter than 8 characters, You will have to press Done twice 
to confirm it, 


图 1-34 设置 root 管理 员 的 密码 





























Linux 系统 安装 过 程 一 般 在 30 一 60 分 钟 ， 在 安装 过 程 期 间 耐 心 等 待 即 可 。 安 装 完成 后 单 
击 Reboot 按钮 ， 如 图 1-35 所 示 。 
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CONFIGURATION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 
图 us 


"redhat 


Complete! 


Red Hat Enterprise Linux is now successfully installed on your system and ready for you to use! Go ahead 





and reboot to start using it! 


Reboot 


Ly Use of this product is subject to the license agreement found at /usr/share/redhat-release/EULA 


图 1-35 系统 安装 完成 


重启 系统 后 将 看 到 系统 的 初始 化 界面 ， 单 击 LICENSE INFORMATION 选项 ， 如 图 1-36 
所 示 。 











INITIAL SETUP RED HAT ENTERPRISE LINUX SERVER 7.0 (MAIPO 
园 。.* 
LOCALIZATION 
LICENSE INFORMATION 


USER SETTINGS 


USER CREATION 


lo user will be created 


QUIT 


局 Plesse complete rems marked with this icon before comtinung to the pext step. 


图 1-36 系统 初始 化 界面 





选中 Iaccept the license agreement 复 选 杠 , 然后 单 击 左 上 角 的 Done 按钮 , 如 图 1-37 
所 示 。 
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LICENSE INFORMATION 











图 1-37 同意 许可 说 明 书 





返回 到 初始 化 界面 后 单 击 FINISH CONFIGURATION 选项 , 即 可 看 到 Kdump 服务 的 
设置 界面 。 如果 和 暂时 不 打算 调试 系统 内 核 , 也 可 以 取消 选中 Enable kdump 复 选 框 ， 然 后 
单 击 Forward 按钮 ， 如 图 1-38 所 示 。 
































Kdump 














图 1-38 ”禁用 Kdump 服务 














在 如 图 1-39 所 示 的 系统 订阅 界面 中 ， 选 中 No, I prefer to register at a later time 单 选 
按钮 ， 然 后 单 击 Finish 按钮 。 此 处 设置 为 不 注册 系统 对 后 续 的 实验 操作 和 生产 工作 均 无 
影响 。 

虚拟 机 软件 中 的 RHEL 7 系统 经 过 又 一 次 的 重启 后 ， 我 们 终于 可 以 看 到 系统 的 欢迎 
界面 ， 如 图 1-40 所 示 。 在 界面 中 选择 默认 的 语言 English (United States) ， 然 后 单 击 Next 
按钮 。 
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Subscription Management Registration 





图 1-39 ”暂时 不 对 系统 进行 注册 








图 1-40 系统 的 语言 设置 
将 系统 的 输入 来 源 类 型 选择 为 English (US)， 然 后 单 击 Next 按钮 ， 如 图 1-41 所 示 。 











图 1-41 设置 系统 的 输入 来 源 类 型 











为 RHEL 7 系统 创建 一 个 本 地 的 普通 用 户 , 该 账户 的 用 户 名 为 linuxprobe, 密码 为 redhat， 
然后 单 击 Next 按钮 ， 如 图 1-42 所 示 。 
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图 1-42 创建 本 地 的 普通 用 户 
按照 图 1-43 所 示 的 设置 来 设置 系统 的 时 区 ， 然 后 单 击 Next 按钮 。 























图 1-43 设置 系统 的 时 区 
在 图 1-44 所 示 的 界面 中 单 击 Start using Red Hat Enterprise Linux Server 按钮 ， 出 现 如 
图 1-45 所 示 的 界面 。 至 此 ，RHEL 7 系统 完成 了 全 部 的 安装 和 部 署 工作 。 准 备 开始 学 习 
Linux 系统 吧 。 
































图 1-44 系统 初始 化 结束 界面 
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1.4 重 置 root 








a Applications oR Tusl620 日 ln 


GNOME Help 


Getting Started 


oo 


© 





Common Tasks 


GNOME Help 





图 1-45 系统 的 欢迎 界面 


|1.4” 重 置 root 管理 员 密码 





管理 员 密码 


wprobe 














平日 里 让 和 运 维 人 员 头疼 的 事情 已 经 很 多 了 ， 因 此 偶尔 把 Linux 系统 的 密码 忘记 了 并 不 用 





























懂 ， 只 需 简 单 几 步 就 可 以 完成 密码 的 重 置 工作 。 但 是 ， 如 果 您 是 第 一 次 阅读 本 书 ， 








或 者 之 前 














没有 Linux 系统 的 使 用 经 验 ， 请 一 定 先 跳 过 本 节 ， 等 学 习 完 Linux 系统 的 命令 后 





了 来 学 习 本 











节 内 容 。 如 果 您 刚刚 接手 了 一 台 Linux 系统 ,要 先 确定 是 否 为 RHEL 7 系统 。 如 果 是 ,然后 再 


进行 下 面 的 操作 。 





[root@linuxprobe ~]# cat /etc/redhat-release 
Red Hat Enterprise Linux Server release 7.0 (Maipo) 























重启 Linux 系统 主机 并 出 现 引导 界面 时 , 按 下 键盘 上 的 e 键 进入 内 核 编辑 界面 , 如 图 1-46 











所 示 。 


Red Hat Enterprise Linux Server, with Linux 3.18.8-123.e17.x86_64 


Red Hat Enterprise Linux Server, with Linux 8-rescue-112e8cbe855941b2974> 


个 and 4 keys to change the selection. 
”to edit the selected i or ‘'c’ for a coMMand proMpt . 


d entry will be started automatically in 5s. 





图 1-46 ”Linux 系统 的 引导 界面 
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在 linux16 参数 这 行 的 最 后 面 追加 “rd.break” 参 数 ， 然 后 按 下 Ctrl + X 组 合 键 来 运行 修 
改过 的 内 核 程序 ， 如 图 1-47 所 示 。 





insMod xfs 
set root= "hdug,Msdos1l” 
if [ x$feature_platforM_search_hint xy ]; then 
search no-floppy fs-uuid set=root hint-bios=hd8,™msdos1 hin\ 
3 --hint= "hdug,Msdosl” 5fdub8c88-B8、\ 
3a-4647-8?7ee-b225adu8f5a54 


else 
search --no-floppy --fs-uuid --set=root 5fdb8c88-8a3a-4647-87ee-b225、\ 


def5a54 

fi 

linuxi6 ~“vMlimu .19.89-123.e17.x86_64 roo UID=839848c2-4663-42 a7N 
52-e87bf143e52d ro rd.1vM.1lv=rhel/root crashkernel=auto rd. lvM. 1v=rhel“ snap wN 
onsole.font=latarcyrheb-sun16 vconsole.keyMap=us rhgb quiet LANG=en_US.UTF-8 、 
rd.break_ 

initrdi6 “initraMfs-3.189.8-123.el17.x86_64. img vy 


Press trl-x to start, Ctrl-c for a coMMand proMpt or S 2 上 DO 
discard edits and return to the menu. Pressing Tab lists 
possible completions. 








图 1-47 ”内核 信 息 的 编辑 界面 
大 约 30 秒 过 后 ， 进 入 到 系统 的 紧急 求援 模式 ， 如 图 1-48 所 示 。 


[sda] Assuming drive cache: urite through 
ming drive cache: urite through 
[sda] hssuming drive cache: write through 





Generating “"/run/initramfs/rdsosreport .txt" 


it the shell to continue. 
iew sustem logs. 
un/initranfs/rdsosreport .txt" to a USB 





图 1-48 Linux 系统 的 紧急 救援 模式 
依次 输入 以 下 命令 ， 等 待 系统 重启 操作 完毕 ， 然 后 就 可 以 使 用 新 密码 linuxprobe 来 登录 
Linux 系统 了 。 命 令 行 执行 效果 如 图 1-49 所 示 。 


72750] Ss [sda] Assunming drive cache: e through 
[sda] hssuning drive cache: urite through 
[sda] hssunming drive cache: write through 











DH 


Generating "/run/initramfs/rdsosreport .txt" 


ntering emergency node. Exit the shell to continue. 
Type “journalct1”to view system logs. 

ou might want to saue “"/run/initramfs/rdsosreport.txt" to a U 
after nounting then and attach it to a bug rep 


itch_root:/# mount -o renount,rw /sysroot 
itch_root:/# chroot sroot 
sh-4.2# passud 


Changing passuord for user root . 
ew passuor， 
etUpe meu passuord: 
assud: all authentication tokens updated successfully. 
-4.2# touch /.autorelabel 
exit 


it 
ch_root:/# reboot 























图 1-49 重 置 Linux 系统 的 root 管理 员 密 人 码 


咱 
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mount -~o remount,rw /sysroot 
chroot /sysroot 

passwd 

touch /.autorelabel 

exit 


reboot 





1.5 ”RPM ( 红 帆 软件 包 管理 器 





在 RPM ( 红 帽 软件 包 管理 需 ) 公布 之 前 ， 要 想 在 Linux 系统 中 安装 软件 只 能 采取 源码 包 
的 方式 安装 。 早 期 在 Linux 系统 中 安装 程序 是 一 件 非常 困难 、 耗 费 耐心 的 事情 ， 而 且 大 多 数 
的 服务 程序 仅仅 提供 源 代码 ， 需 要 运 维 人 员 自 行 编译 代码 并 解决 许多 的 软件 依赖 关系 ， 因 此 
要 安装 好 一 个 服务 程序 ， 运 维 人 员 需 要 具备 丰富 知识 、 高 超 的 技能 ， 甚 至 良好 的 耐心 。 而 且 
在 安装 、 升 级 、 钊 载 服务 程序 时 还 要 考虑 到 其 他 程序 、 库 的 依赖 关系 ， 所 以 在 进行 校 验 、 安 
装 、 印 载 、 查 询 、 升 级 等 管理 软件 操作 时 难度 都 非常 大 。 

RPM 机 制 则 为 解决 这 些 问 题 而 设计 的 。RPM 有 点 像 Windows 系统 中 的 控制 面板 ， 会 建 
立 统 一 的 数据 库 文件 , 详细 记录 软件 信息 并 能 够 自动 分 析 依 赖 关系 。 目 前 RPM 的 优势 已 经 被 
公众 所 认可 ， 使 用 范围 也 已 不 局 限 在 红 帽 系统 中 了 。 表 1-1 是 一 些 常 用 的 RPM 软件 包 命 令 ， 
当前 不 需要 记 住 它们 ， 大 致 混 个 “ 脸 熟 ”就 足够 了 。 










































































表 1-1 常用 的 RPM 软件 包 命 令 
安装 软件 的 命令 格式 rpm -ivh filename.rpm 
升级 软件 的 命令 格式 rpm -Uvh filename.rpm 
印 载 软件 的 命令 格式 rpm -e filename.rpm 
查询 软件 描述 信息 的 命令 格式 rpm -qdqpi filename.rpm 
列 出 软件 文件 信息 的 命令 格式 rpm -qpl filename.rpm 
查询 文件 属于 哪个 RPM 的 命令 格式 rpm -qf filename 

















1.6 Yum 软件 仓库 





尽管 RPM 能 够 帮助 用 户 查 询 软件 相关 的 依赖 关系 ， 但 问题 还 是 要 运 维 人 员 自 己 来 解决 ， 
而 有 些 大 型 软件 可 能 与 数 十 个 程序 都 有 依赖 关系 ， 在 这 种 情况 下 安装 软件 会 是 非常 痛苦 的 。 
Yum 软件 仓库 便 是 为 了 进一步 降低 软件 安装 难度 和 复杂 度 而 设计 的 技术 。Yum 软件 仓库 可 以 
根据 用 户 的 要 求 分 析出 所 需 软件 包 及 其 相关 的 依赖 关系 ， 然 后 自动 从 服务 器 下 载 软件 包 并 安 
装 到 系统 。Yum 软件 仓库 的 技术 拓扑 如 图 1-50 所 示 。 

Yum 软件 仓库 中 的 RPM 软件 包 可 以 是 由 红 帆 官方 发 布 的 ， 也 可 以 是 第 三 方 发 布 的 ， 当 
然 也 可 以 是 自己 编写 的 。《Linux 就 该 这 么 学 》 随 书 提供 的 镜像 光盘 内 已 经 包含 了 大 量 可 用 的 
RPM 红 帆 软件 包 , 后 文中 详细 讲解 这 些 软件 包 。 表 1-2 所 示 为 一 些 常 见 的 Yum 命令 ， 当 前 只 
需 对 它们 有 一 个 简单 印象 即 可 。 
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Yum 软件 仓库 攻 
服务 器 。 





客户 端 





图 1-50 ”Yum 软件 仓库 的 技术 拓扑 图 

















表 1-2 常见 的 Yum 命令 
命令 作用 
yum repolist all 列 出 所 有 仓库 
yum list all 列 出 仓库 中 所 有 软件 包 
yum info 软件 包 名 称 查看 软件 包 信息 








yum install 软件 包 名 称 
yum reinstall 软件 包 名 称 


装 软 件 包 
新 安装 软件 包 


对 











[hadl\ 
Jy 










































































yum update 软件 包 名 称 升级 软件 包 

yum remove 软件 包 移 除 软件 包 

yum clean all 清除 所 有 仓库 缓存 

yum check-update 检查 可 更 新 的 软件 包 

yum grouplist 查看 系统 中 已 经 安装 的 软件 包 组 

yum groupinstall 软件 包 组 安装 指定 的 软件 包 组 

yum groupremove 软件 包 组 移 除 指定 的 软件 包 组 

yum groupinfo 软件 包 组 查询 指定 的 软件 包 组 信息 

1.7 systemd 初始 化 进程 

Linux 操作 系统 的 开机 过 程 是 这 样 的 ， 即 从 BIOS 开始 ， 然 后 进入 Boot Loader， 再 加 

载 系统 内 核 ， 然 后 内 核 进行 初始 化 ， 最 后 启动 初始 化 进程 。 初 始 化 进程 作为 Linux 系统 的 





第 一 个 进程 ， 它 需要 完成 Linux 系统 中 相关 的 初始 化 工作 ， 为 用 户 提供 合适 的 工作 环境 。 
红 帽 RHEL 7 系统 已 经 替换 掉 了 熟悉 的 初始 化 进程 服务 System V init， 正 式 采 用 全 新 的 
systemd 初始 化 进程 服务 。 如 果 您 之 前 学 习 的 是 RHEL 5 或 RHEL 6 系统， 可 能 会 不 习惯 。 
systemd 初始 化 进程 服务 采用 了 并 发 启动 机 制 , 开机 速度 得 到 了 不 小 的 提升 。 虽然 systemd 
初始 化 进程 服务 具有 很 多 新 特性 和 优势 ， 但 目前 还 是 下 面 4 个 本 点 。 
> 柳 点 1: systemd 初始 化 进程 服务 的 开发 人 员 Lennart Poettering 就 职 于 红 帆 公司， 这 
让 其 他 系统 的 粉丝 很 不 详 。 
> 槽 点 2: systemd 初始 化 进程 服务 仅仅 可 在 Linux 系统 下 运行 ,，“ 抛 弃 ” 了 UNIX 系统 用 户 。 
> 槽 点 3: systemd 接管 了 诸如 syslogd、udev、cgroup 等 服务 的 工作 ,不 再 甘心 只 做 初 
始 化 进程 服务 。 
> 酸 点 4: 使 用 systemd 初始 化 进程 服务 后 ,RHEL 7 系统 变化 太 大 ， 而 相关 的 参考 文档 
不 多 ， 令 用 户 着 实 为 难 。 
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1.7 systemd 初始 化 进程 









































无 论 怎样 ,RHEL 7 系统 选择 systemd 初始 化 进程 服务 已 经 是 一 个 既定 事实 ,因此 也 没有 
了 “运行 级 别 ” 这 个 概念 ，Linux 系统 在 局 动 时 要 进行 大 量 的 初始 化 工作 ， 比 如 挂 载 文件 系统 
和 交换 分 区 、 启 动 各 类 进程 服务 等 ， 这 些 都 可 以 看 作 是 一 个 一 个 的 单元 ( Unit )，systemd 用 





元 和 各 


去 行 级 别 的 概念 ， 这 





目标 ( target ) 代替 了 System V init 中 运 这 两 者 的 区 别 如 表 1-3 所 示 。 



















































































表 1-3 systemd 与 System V init 的 区 别 以 及 作用 
System V init 运行 级 别 systemd 目标 名 称 作用 
0 runlevel0.target, poweroff.target 关机 
1 runlevell.target, rescue.target 单 用 户 模 式 
2 runlevel2.target, multi-~user.target 等 同 于 级 别 3 
3 runlevel3.target, multi-user.target 多 用 户 的 文本 界面 
4 runlevel4.target, multi-~user.target 等 同 于 级 别 3 
5 runlevel5.target, graphical.target 多 用 户 的 图 形 界面 
6 runlevel6.target, reboot.target 重启 
emergency emergency.target 紧急 Shell 
如 果 想 要 将 系统 默认 的 运行 目标 修改 为 “多 用 户 ， 无 图 形 ” 模 式 ， 可 直接 用 In 命令 把 多 
用 户 模 式 目 标 文 件 连接 到 /etc/systemd/system/ 目 录 : 








[root@linuxprobe ~]# ln -sf /Lib/systemdq/system/multi-user.target /etc/systemd/ 
system/default .target 




















如 果 有 读者 之 前 学 习 过 RHEL 6 系统 ， 或 者 已 经 习惯 使 用 service 、chkconfig 等 命令 来 管 








理 系统 有 


民 务 ， 那 么 现在 就 比较 郁 问 了 ， 因 为 在 RHEL 7 系统 中 是 使 用 systemect 命令 来 管理 有 





民 








务 的 。 表 1-4 和 表 1-5 所 示 RHEL 6 系统 中 System V init 命令 与 RHEL 7 系统 中 systemct 命令 



































































































































的 对 比 ， 您 可 以 先 大 致 了 解 一 下 ， 后 续 章 节 中 会 经 党 用 到 它们 。 
表 1-4 systemctl 管理 服务 的 启动 、 重 启 、 停 止 、 重 载 、 查 看 状态 等 常用 命令 
System V init 命令 
temctl RHEL 7 系 作用 
( RHEL 6 系统 ) ee 系统 ) 
service foo start systemctl1 start foo.service 启动 服务 
service foo restart | systemctl1 restart foo.service 重启 服务 
service foo stop systemctl1 stop foo.service 停止 服务 
service foo reload | Systemct1 reload foo.service 重新 加 载 配 置 文件 (不 终止 服务 ) 
service foo status | Systemct1l status foo.service 查看 服务 状态 
表 1-5 systemctl 设置 服务 开机 启动 、 不 启动 、 查 看 各 级 别 下 服务 启动 状态 等 常用 命令 
System V init 命令 
>” i systemctl 命令 ( RHEL 7 系统 ) 作用 
( RHEL 6 系统 ) 
chkconfig foo on | systemctl enable foo.servic 开机 自动 启动 
chkconfig foo off | systemct1 disable foo.service 开机 不 自动 启动 
¢ | 查看 特定 服务 是 否 为 
chkconfig foo SYStemct1 is-enabled foo.service Nh 
开机 自动 启动 
hk 二 list t 1 list it—fil t i 和 有 从 人 全 人 
chkconfig --lis systemct ist-uni iles ype=servic 
的 启动 与 禁用 情况 
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| 复习 题 
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为 什么 建议 读者 校 验 下 载 的 系统 镜像 或 工具 ? 
答 : 为 了 保证 软件 包 的 安全 与 完整 性 。 




















.使 用 虚拟 机 安装 Linux 系统 时 ， 为 什么 要 先 选择 稍 后 安装 操作 系统 ， 而 不 是 去 选择 RHEL 7 





答 : 在 配置 界面 中 若 直 接 选择 了 RHEL7 系统 镜像 , 则 VMware Workstation 虚拟 机 会 使 用 
内 置 的 安装 向 导 自 动 进行 安装 , 最 终 安装 出 来 的 系统 跟 我 们 后 续 进 行 实验 所 需 的 系统 环境 
会 不 一 样 

















O 


RPM ( 红 帽 软件 包 管理 器 ) 只 有 红 帽 企业 系统 在 使 用 ， 对 吗 ? 


答 : RPM 已 经 被 CentOS 、Fedora 、openSUSE 等 众多 Linux 系统 采用 ， 





真 的 很 好 用 








[CS 


， 简 述 RPM 与 Yum 软件 仓库 的 作用 。 























答 : RPM 是 为 了 简化 安装 的 复杂 度 , 而 Yum 软件 仓库 是 为 了 解决 软件 包 之 间 的 依赖 关系 。 


.RHEL 7 系统 采用 了 systemd 作为 初始 化 进程 ， 那 么 如 何 查看 某 个 服务 的 运行 状态 ? 





答 : 执行 命令 “systemctl status 服务 名 .service” 可 查看 服务 的 运行 状态 ， 其 中 服务 名 后 
的 .service 可 以 省 略 。 








第 2 章 | 


新 手 必须 掌握 的 Linux 命令 


本 章 讲解 了 如 下 内 容 : 


强大 好 用 的 Shell; 
执行 帮助 文档 命令 ; 
常用 系统 工作 命令 ; 
系统 状态 检测 命令 ; 
工作 目录 切换 命令 ; 
文本 文件 编辑 命令 ; 
文件 目录 管理 命令 ; 
打包 压缩 与 搜索 命令 。 








AAS AAA 





本 童 首先 介绍 系统 内 核 和 Shell 终端 的 关系 与 作用 , 然后 介绍 Bash 解释 器 的 4 大 优势 并 学 习 
Linux 命令 的 执行 方法 。 经 验 丰 富 的 运 维 人 员 可 以 通过 合理 地 组 合适 当 的 命令 与 参数 ， 来 更 精准 
地 满足 工作 需求 ， 迅 速 得 到 自己 想 要 的 结果 ， 还 可 以 尽 可 能 地 降低 系统 资源 消耗 。 

本 书 精 挑 细 选 出 读者 有 必要 首先 学 习 的 数 十 个 Linux 命令 , 它们 与 系统 工作 、 系 统 状态 、 
工作 目录 、 文 件 、 目 录 、 打 包 压 缩 与 搜索 等 主题 相关 。 通 过 把 上 述 命令 归纳 到 本 章 中 的 各 个 
小 节 ， 让 您 可 以 分 门 别 类 地 逐个 学 习 这 些 最 基础 的 Linux 命令 ， 为 今后 学 习 更 复杂 的 命令 和 


服务 做 好 必 备 知识 铺垫 。 
































| 2.1 强大 好 用 的 Shell 


























NN 








通常 来 讲 ， 计 算 机 硬件 是 由 运算 器 、 控 制 器 、 存 储 器 、 输 入 /输出 设备 等 共同 组 成 的 ， 而 
让 各 种 人 硬件 设备 各 司 其 职 且 又 能 协同 运行 的 东西 就 是 系统 内 核 ,Linux 系统 的 内 核 负 责 完成 对 
硬件 资源 的 分 配 、 调 度 等 管理 任务 。 由 此 可 见 ， 系 统 内 核对 计算 机 的 正常 运行 来 讲 是 太 重要 
了 ， 因 此 一 般 不 建议 直接 去 编辑 内 核 中 的 参数 ， 而 是 让 用 户 通过 基于 系统 调用 接口 开发 出 的 
程序 或 服务 来 管理 计算 机 ， 以 满足 日 常 工作 的 需要 ， 如 图 2-1 所 示 。 

必须 肯定 的 是 ，Linux 系统 中 有 些 图 形 化 工具 ( 比如 人 逻辑 卷 管 理 器 [Logical Volume Manager， 
LVM] ) 确实 非常 好 用 ， 极 大 地 降低 了 运 维 人 员 操 作出 错 的 概率 ， 值 得 称赞 。 但 是 ， 很 多 图 形 化 
工具 其 实 是 调用 了 脚本 来 完成 相应 的 工作 ， 往 往 只 是 为 了 完成 某 种 工作 而 设计 的 ， 缺 乏 Linux 命 
令 原 有 的 灵活 性 及 可 控 性 。 再 者 ， 图 形 化 工具 相 较 于 Linux 命令 行 界 面 会 更 加 消耗 系统 资源 ， 
此 经 验 丰 富 的 运 维 人 员 甚至 都 不 会 给 Linux 系统 安装 图 形 界面 ， 需 要 开始 运 维 工作 时 直接 通过 命 



























































































































































新 手 必须 掌握 的 Linux 命令 








令 行 模式 远程 连接 过 去 ， 不 得 不 说 这 样 做 确实 挺 高 效 的 。 








程序 或 服务 


系统 调用 接口 
内 核 


硬件 


用 户 


图 2-1 用 户 与 Linux 系统 的 交互 


Shell 就 是 这 样 的 一 个 命令 行 工具 。Shell ( 也 称 为 终端 或 壳 ) 充当 的 是 人 与 内 核 (硬件 ) 














之 间 的 翻译 官 ， 用 户 把 一 些 命令 “告诉 ”终端 ， 它 就 会 调用 相应 的 程序 服务 去 完成 某 些 工作 。 
现在 包括 红 帽 系统 在 内 的 许多 主流 Linux 系统 默认 使 用 的 终端 是 Bash ( Bourne-Again SHell ) 
解释 器 。 主 流 Linux 系统 选择 Bash 解释 器 作为 命令 行 终端 主要 有 以 下 4 项 优势 ， 读 者 可 以 在 
今后 的 学 习 和 生产 工作 中 细 细 体会 Linux 系统 命令 行 的 美妙 之 处 ， 真 正 从 心里 爱 上 它们 。 

> 通过 上 下 方向 键 来 调 取 过 往 执行 过 的 Linux 命令 ; 

> 命令 或 参数 仅 需 输入 前 几 位 就 可 以 用 Tab 键 补 全 ; 

> 具有 强大 的 批 处 理 脚 本 ; 

> 具有 实用 的 环境 变量 功能 。 




















| 2.2 执行 查看 帮助 命令 





既然 Linux 系统 中 已 经 有 了 Bash 这 么 好 用 的 “翻译 官 ”， 那 么 接 下 来 就 有 必要 好 好 学 习 
下 怎么 跟 它 沟通 了 。 要 想 准确 、 高 效 地 完成 各 种 任务 ， 仅 依赖 于 命令 本 刁 是 不 够 的 ， 还 应 该 
根据 实际 情况 来 灵活 调整 各 种 命令 的 参数 。 比 如 ， 我 们 切 寿司 时 尽管 可 以 用 菜刀 ， 但 米粒 一 
定 会 撤 得 满 地 都 是 ， 因 此 寿司 刀 上 设计 的 用 于 透气 的 圆 孔 就 是 为 了 更 好 地 适应 场景 而 额外 增 
加 的 参数 。 当 您 学 完 本 书 并 具备 一 定 的 工作 经 验 之 后 ， 一 定 能 够 领情 Linux 命令 的 奥秘 。 常 
见 执行 Linux 命令 的 格式 是 这 样 的 : 

































































命令 名 称 [命令 参数 ] [命令 对 象 ] 











注意 ， 命 令 名 称 、 命 令 参数 、 命 令 对 象 之 间 请 用 空格 键 分 隔 。 

命令 对 象 一 般 是 指 要 处 理 的 文件 、 目 录 、 用 户 等 资源 ， 而 命令 参数 可 以 用 长 格式 ( 完整 的 选 
项 名 称 ), 也 可 以 用 短 格式 ( 单个 字母 的 缩写 ), 两 者 分 别 用 -- 与 -作为 前 缀 ( 示例 请 见 表 2-1 ), Linux 
新 手 不 会 执行 命令 大 多 是 因为 参数 比较 复杂 ， 参 数值 需要 随 不 同 的 命令 和 需求 情况 而 发 生 改变 。 
因此 ， 要 想 灵活 搭配 各 种 参数 ， 执 行 自 己 想 要 的 功能 ， 则 需要 长 时 间 的 经 验 积 累 了 。 


表 2-1 命令 参数 的 长 格式 与 短 格式 示例 


长 格式 man 一 -he1lp 
短 格式 man 一 
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2.2 执行 查看 帮助 命令 


有 读者 现在 可 能 会 想 :“Linux 系统 中 有 那么 多 命令 ， 我 怎么 知道 某 个 命令 是 干 嘛 用 的 ? 
在 日 常 工 作 中 遇 到 了 一 个 不 熟悉 的 Linux 命令 ， 我 又 怎样 才能 知道 它 有 哪些 可 用 参数 呢 ? ” 
接 下 来 ， 我 们 就 拿 man 这 个 命令 作为 本 书 中 第 一 个 教 给 读者 去 学 习 的 Linux 命令 了 。 对 于 真 
正 的 零 基础 读者 , 您 可 以 通过 图 2-2、 图 2-3 和 图 2-4 来 学 习 如 何在 RHEL 7 系统 中 执行 Linux 
命令 。 

在 RHEL 7 系 乡 的 穴 面 上 单 击 鼠 标 右键， 在 弹出 的 菜单 中 选择 Open in Terminal 命令 ,这 
将 打开 一 个 Linux 系统 命令 行 终端 ， 如 图 2-2 所 示 。 


OM Applications Places 





0 家 wed14:46 加 root 








Qrganize Desktop by Name 
“Keep Aligned 


Change Desktop Background 


14 旦 
图 2-2 在 Linux 系统 上 打开 命令 行 终端 


在 命令 行 终端 中 输入 man man 命令 来 查看 man 命令 自身 的 帮助 信息 ， 如 图 2-3 所 示 。 


网 Applications Places inal 特 哎 Fril5:58 root 





root@localhost:~/Desktop 


Fae Edit View Search Terminal Help 
[root@localhost Desktop]# man san 


图 2-3 查看 man 命令 的 帮助 信息 
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敲 击 回 车 键 后 即 可 看 到 如 图 2-4 所 示 的 帮助 信息 。 


二 Applications Places rminat 中 成 Wed14:49 加 root 





root 回 Linuxprobe:”/Desktop = UD 


Fae Edt View Seaxch Terminal Help 
Nanual pager utits MAN(1) 


man ~ an interface to the on-:line reference manuals 


SYNOPSIS 
man {1-C fla}) [-dj 【-D] {--warnings{=warnings]) [-R encoding] {-L 
ocals] [-@ systenl,...]] [-H path] [-S List] [-e gxrension] [-1|-1] 
[--regex|--wildcard) [--names-only] [-a] [-u) [--no-subpages] {-P 
peacer] [-r pronpt) [-7] (-E encoding] [--no-hyphenation] [--no-justifi- 
cation] [-p string] 【-t] 【TIdaviss]] {-HIbrowser]) [-Xidpil] [~-2Z} 
[[section] paga ...] ... 
man -k [SPF 
man -K [-w|-W] [-S JS [-1]-1] "fs -ragex) [section] tarmm ... 
man -f [whatis ontions) Rage . 
man -L [-C Lils] [-d] [-D) {- ~warnings[ =warnings]] [-R_ sncoding] [-L 
locals) [-P nager) [er pronpt) dp tring] [-t) 

"Tidevica)) I-Hibrowser)) (-X(gn4)) 1-2) 全 

man -wl-W [-C Ella] [-d] 1° D] De es 
man -<C [-C fils] [-d] [-D] gags 
man [-?V] 


DESCRIPTION 


图 2-4 man 命令 的 帮助 信息 





在 man 命令 帮助 信息 的 界面 中 ， 所 包含 的 常用 操作 按键 及 其 用 途 如 表 2-2 所 示 。 


表 2-2 man 命令 中 常用 按键 以 及 用 途 
按键 用 途 

















PaGe down 向 下 翻 一 页 
PaGe up 向 上 翻 一 页 
home 直接 前 往 首页 
end 直接 前 往 尾 页 





/ 从 上 至 下 搜索 某 个 关键 词 ， 如 “/linux” 
? 从 下 至 上 搜索 某 个 关键 词 ， 如 “?linux” 
n 定位 到 下 一 个 搜索 到 的 关键 词 

N 定位 到 上 一 个 搜索 到 的 关键 词 

q 退出 帮助 文档 

















一 般 来 讲 ， 使 用 man 命令 查看 到 的 帮助 内 容 信息 都 会 很 长 很 多 ， 如 果 读 者 不 了 解 帮助 文 
档 信息 的 目录 结构 和 操作 方法 ， 乍 一 看 到 这 么 多 信息 可 能 会 感到 相当 困惑 。man 命令 的 帮助 
言 息 的 结构 如 表 2-3 所 示 。 
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表 2-3 man 命令 帮助 信息 的 结构 以 及 意义 
结构 名 称 代表 意义 

NAME 命令 的 名 称 
SYNOPSIS 参数 的 大 致使 用 方法 
DESCRIPTION 介绍 说 明 
EXAMPLES 演示 ( 附带 简单 说 明 ) 
OVERVIEW 概述 
DEFAULTS 默认 的 功能 
OPTIONS 具体 的 可 用 选项 ( 带 介绍 ) 
ENVIRONMENT 环境 变量 
FILES 用 到 的 文件 
SEE ALSO 相关 的 资料 
HISTORY 维护 历史 与 联系 方式 


| 2.3 ”常用 系统 工作 命令 

















ed 书 是 刘 造 老师 在 经 历 了 十 多 年 的 运 维 学 习 以 及 数 十 
可 能 无 法 在 本 节 中 找到 某 些 之 前 见 过 的 命令 。 但 不 月 
与 实战 相 结 合 ， 真 正 让 读者 在 实 操 中 理解 技术 ， 而 不 是 


结 而 成 的 ， 
原因 是 刘 站 老师 努力 地 
单纯 地 把 命令 堆砌 到 书 

刘 雍 老师 用 了 近 一 


把 这 些 常 用 的 命令 合 














将 Linux 命令 


中 让 读者 去 硬 背 




















一 年 的 时 间 把 最 党 月 





里 安排 到 了 后 续 章 节 




















和 掌握 。 从 数 年 的 培训 
您 的 学 习 。 


1. echo 命令 











echo 命令 


例如 ， 把 














指定 字 


| 成 果 反 


的 Linux 命令 进行 汇总 
中 ， 然 后 采用 以 练 代 学 的 方式 来 加 深 读 者 的 理解 





担心 ， 














期 的 培训 授课 后 ， 
之 所 以 这 样 安排 ， 














、 归 纳 、 整 理 、 分 类 后 ， 





活 合 


馈 来 看 ， 这 种 方式 相当 有 效 ， 因 此 也 相信 这 种 方式 表 定 适合 


令 用 于 在 终端 输出 字符 串 或 变量 提取 后 的 值 , 格式 为 “echo [字符 串 | $ 变 量 ]”。 
字符 串 “Linuxprobe.com” 输 出 到 终端 屏幕 的 命令 为 





[root@linuxprobe 


~]# echo Linuxpr 


obe .Com 








该 命令 会 在 终端 








Linuxprobe.Com 








下 面 ， 我 们 使 用 $ 变 量 的 方式 提取 变量 SHELL 的 值 ， 并 将 其 输出 到 屏幕 上 : 











[root@linuxprobe 
/bin/bash 


~]# echo S$SHELL 
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2. date 命令 














date 命令 用 于 显示 及 设置 系统 的 时 间或 日 期 ， 格式 为 “date [选项 ] [+ 指定 的 格式 ]”。 

只 需 在 强大 的 date 命令 中 输入 以 “+” 号 开头 的 参数 ， 即 可 按照 指定 格式 来 输出 系统 的 
时 间或 日 期 ， 这样 在 日 常 工作 时 便 可 以 把 备份 数据 的 命令 与 指定 格式 输出 的 时 间 信 息 结合 到 
一 起 。 例 如 ， 把 打包 后 的 文件 自动 按照 “年 -月 -日 ”的 格式 打包 成 “backup-2017-9-1.tar.gz”， 
用 户 只 需要 看 一 眼 文件 名 称 就 能 大 概 了 解 到 每 个 文件 的 备份 时 间 了 。date 命令 中 常见 的 参数 
格式 及 作用 如 表 2-4 所 示 。 















































表 2-4 date 命令 中 的 参数 以 及 作用 
参数 作用 

gt 跳 格 [Tab 键 ] 
g 小 时 (00 一 23 ) 
SI 小 时 (00 一 12 ) 
gsM 分 钟 (00 一 59 ) 
EE 秒 (00 一 59 ) 
$j 今年 中 的 第 几 天 








按照 默认 格式 查看 当前 系统 时 间 的 date 命令 如 下 所 示 : 








root@linuxprobe ~]# date 
Mon Aug 24 16:11:23 CST 2017 





按照 “年 -月 -日 小 时 :分 钟 : 秒 ” 的 格式 查看 当前 系统 时 间 的 date 命令 如 下 所 示 : 








root@linuxprobe ~]# date "+%$Y-%m-%d $%H:%M:%S" 
2017-08-24 16:29:12 








将 系统 的 当前 时 间 设 置 为 2017 年 9 月 1 日 8 点 30 分 的 date 命令 如 下 所 示 : 








[root@linuxprobe ~]# date -s "20170901 8:30:00" 
Fri Sep 1 08:30:00 CST 2017 


再 次 使 用 date 命令 并 按照 默认 的 格式 查看 当前 的 系统 时 间 ， 如 下 所 示 : 














[root@linuxprobe ~]# date 
Fri Sep 1 08:30:01 CST 2017 


date 命令 中 的 参数 %j 可 用 来 查看 今天 是 当年 中 的 第 几 天 。 这 个 参数 能 够 很 好 地 区 分 


备份 时 间 的 新 上 日 ， 即 数字 越 大 ， 越 靠近 当前 时 间 。 该 参数 的 使 用 方式 以 及 显示 结果 如 下 
所 示 。 





























[root@linuxprobe ~]# date "+$j" 
244 
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重启 
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3. reboot 命令 

reboot 命令 用 于 重启 系统 ， 其 格式 为 reboot。 

由 于 重启 计算 机 这 种 操作 会 涉及 硬件 资源 的 管理 权限 ， 因 此 默认 只 能 使 用 root 管理 员 来 
， 其 命令 如 下 : 














[root@linuxprobe ~]# reboot 





可 以 


4. poweroff 命令 

poweroff 命令 用 于 关闭 系统 ， 其 格式 为 poweroff。 

该 命令 与 reboot 命令 相同 ， 都 会 涉及 硬件 资源 的 管理 权限 ， 因 此 默认 只 有 root 管理 员 才 
关闭 电脑 ， 其 命令 如 下 : 

















[root@linuxprobe ~]# poweroff 





看 一 下 下 面 的 演示 实验 即 可 ， 切 记 不 要 急于 求 成 。 后 面 章节 将 逐步 讲解 Linux 系统 的 配置 管 


5. wget 命令 


wget 命令 用 于 在 终端 中 下 载 网 络 文件 ， 格 式 为 “wget [参数 ] 下 载 地 址 ”。 
如 果 您 没有 Linux 系统 的 管理 经 验 ， 当 前 只 需 了 解 一 下 wget 命令 的 参数 以 及 作用 ,然后 




















理 方法 ， 可 以 等 您 掌握 了 网 卡 的 配置 方法 后 再 来 进行 这 个 实验 操作 。 表 2-5 所 示 为 wget 命令 
的 参数 以 及 参数 的 作用 。 









































表 2-5 wget 命令 的 参数 以 及 作用 
参数 作用 

-b 后 台 下 载 模式 
二 下 载 到 指定 目录 
-t 最 大 尝试 次 数 
= 断 点 续 传 
-p 下 载 页 面 内 所 有 资源 ， 包 括 图 片 、 视 频 等 
-r 递归 下 载 


件 的 完整 路 径 为 http://www.linuxprobe.com/docs/LinuxProbe.pdf, 执行 该 命令 后 的 下 载 效果 





尝试 使 用 wget 命令 从 本 书 的 配套 站 点 中 下 载 本 书 的 最 新 pdf 格式 电子 文档 ， 这 个 文 























如 下 : 





[root@linuxprobe ~]# wget http://www.linuxprobe.com/docs/LinuxProbe.pdf 
--2017-08-24 19:30:12 -- http://www.linuxprobe.com/docs/LinuxProbe.pdf 
Resolving www.linuxprobe.com (www.linuxprobe.com)... 220.181.105.185 
Connecting to www.linuxprobe.com (www.linuxprobe.com) |220.181.105.185|:80... 
connected. 

HTTP request sent, awaiting response... 200 OK 

Length: 45948568 (44M) [application/pdf] 
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Saving to: ‘LinuxProbe.pdf’ 








100%[ >] 45,948,568 32.9MB/s in 1.3s 


2017-08-24 19:30:14 (32.9 MB/s) - ‘LinuxProbe.pdf’ saved [45948568/45948568] 





接 下 来 ,我 们 使 用 wget 命令 递归 下 载 www.linuxprobe.com 网 站 内 的 所 有 页 面 数 据 以 及 文 


件 ， 下 载 完 后 会 自动 保存 到 当前 路 径 下 一 个 名 为 www.linuxprobe.com 的 目录 中 。 执 行 该 操 
的 命令 为 wget -r -p http://www.linuxprobe.com， 该 命令 的 执行 结果 如 下 。 








[root@linuxprobe ~]# wget -r -p http://www.linuxprobe.com 
--2017-08-24 19:31:41-- http://www.linuxprobe.com/ 

Resolving www.linuxprobe.com... 106.185.25.197 

Connecting to www.linuxprobe.com|106.185.25.197|:80... connected. 
HTTP request sent, awaiting response... 200 OK 

Length: unspecified [text/htmll] 


Saving to: ‘'www.linuxprobe.com/index.html' 





6. ps 命令 


ps 命令 用 于 查看 系统 中 的 进程 状态 ， 格 式 为 “ps [参数 ]”。 
估计 读者 在 第 一 次 执行 这 个 命令 时 都 要 惊 果 一 下 一 一 怎么 会 有 这 么 多 输出 值 ， 这 可 怎么 











看 得 过 来 ? 其实, 刘 淫 老师 通常 会 将 ps 命令 与 第 3 章 的 管道 符 技术 搭配 使 用 ,用 来 抓 取 与 某 
个 指定 服务 进程 相对 应 的 PID 号 码 。ps 命令 的 常见 参数 以 及 作用 如 表 2-6 所 示 。 








表 2-6 ps 命令 的 参数 以 及 作用 
参数 作用 








示 所 有 进程 ( 包括 其 他 用 户 的 进程 ) 

















] 户 以 及 其 他 详细 信息 








ne 

















示 没 有 控制 终端 的 进程 











Linux 系统 中 时 刻 运行 着 许多 进程 ， 如 果 能 够 合理 地 管理 它们 ， 则 可 以 优化 系统 的 性 能 。 在 





Linux 系统 中 ， 有 5 种 常见 的 进程 状态 ,分 别 为 运行 、 中 断 、 不 可 中 断 、 伪 死 与 停止 ,其 各 日 
含义 如 下 所 示 。 


出 值 ， 而 且 正 常 的 输出 值 中 不 包括 中 文 注释 。 


> R (运行 ): 进程 正在 运行 或 在 运行 队列 中 等 待 。 

> S (中 断 ): 进程 处 于 休眠 中 ， 当 某 个 条 件 形 成 后 或 者 接收 到 信号 时 ， 则 脱离 该 

D ( 不 可 中 断 ): 进程 不 响应 系统 异步 信号 ， 即 便 用 kill 命令 也 不 能 将 其 中 断 。 

> 2 ( 僵 死 ): 进程 已 经 终止 , 但 进程 描述 符 依然 存在 ， 直到 父 进程 调用 wait40 系 统 函 数 
后 将 进程 释放 。 

> TT (停止 ): 进程 收 到 停止 信号 后 停止 运行 。 

当 执行 ps aux 命令 后 通常 会 看 到 如 表 2-7 所 示 的 进程 状态 ， 表 2-7 中 只 是 列举 了 部 分 输 





Vv 
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表 2-7 进程 状态 
USER | PID | 多 CPU|%MEMI| VSZ RSS ‘TTY ISTAT START| TIME COMMAND 
占用 的 
A | _| 虚 拟 内 存 | 全 ee ee 
进程 的 | 进 程 | 运算 器 | 内 存 占 使 j 量 ( 单 | 定 内 存量 所 在 进程 | 被 启动 | 实际 使 用 命令 名 称 与 参数 
里 > AL i ~ IEP 小 洋 分 
所 有 者 |ID 号 | 占用 率 | 用 率 a (单位 是 终端 | 状态 | 的 时 间 |CPU 的 时 间 
位 是 KB ) 
KB ) 
/usr/lib/sys 
root 1 0.0 0.4 53684 7628 2? Ss 07 :22 |0:02 
temd/systemd 
root |2 0.0 0.0 0 0 2 S 07:22 |0:00 [kthreadd] 
root |3 0.0 0.0 0 0 2 S 07:22 |0:00 [ksoftirqd/0] 
root 5 0.0 0.0 0 0 2 S< 107:22 10:00 [kworker/0:0H] 
root |7 0.0 0.0 0 0 2 S 07:22 10:00 [migration/0] 
EO 省 略 部 分 输出 信息 .pp 
注 : 


如 前 面 所 提 到 的 , 在 Linux 系统 中 的 命令 参数 有 长 短 格式 之 分 , 长 格式 和 长 格式 之 
间 不 能 合并 ,长 格式 和 短 格式 之 间 也 不 能 合并 ,但 短 格式 和 短 格式 之 间 是 可 以 合并 的 ， 
合并 后 仅 保留 一 个 -( 减 号 ) 即 可 。 另 外 ps 命令 可 允许 参数 不 加 减 号 (- )， 因 此 可 直接 


写成 ps aux 的 样子 。 


7. top 命令 





top 命令 用 于 动态 地 监视 进程 活动 与 系统 负载 等 信息 ， 其 


格式 为 top。 


top 命令 相当 强大 ,能 够 动态 地 查看 系统 运 维 状态 ,完全 将 它 看 作 Linux 中 的 “强化 版 的 





Windows 任务 管理 器 ”。top 命令 的 运行 界面 如 图 2-5 所 示 。 








0.0 hi, 
924 buffers 


OOOOOOOOOOOOOOOOoOr- 


0 zombie 


0.0 si, 0.0 


278556 cached Mem 


TIME+ COMMAND 


:15.85 gnome-s 
:00.03 top 

:03.02 systemd 
:00.04 kthread 
:00.08 ksoftirqd+ 
:00.00 kworker/O+ 
:02.05 migrati 
:00.00 rcu_bh 
:00 .00 rcuob/0 
:00.00 rcuob/1 
:00 .00 rcuob/2 
:00 .00 rcuob/3 
:00.00 rcuob/4 
:00 .00 rcuob/5 
:00 .00 rcuob/6 
:00 .00 rcuob/7 
:00.00 rcuob/8 


root@linuxprobe:~/Desktop 
File Edit View Search Terminal Help 
top - 19:19:51 up 11 min, 2 users, load average: 0.01, 0.17, 0.19 
Tasks: 519 total, 2 running, 517 sleeping, 0 stopped, 
WCouts}ye le Us 6 sy BA Thi dod dd, Ll ,We 
KiB Mem: 3869044 total, 900604 used, 2968440 free, 
KiB Swap: 2097148 total, 0 used, 2097148 free. 
PID USER PR NI VIRT RES SHR S %CPU SMEM 
3331 root 20 0 1755192 234352 37760 S 138.4 6.1 
3782 root 20 0 123920 1800 1068 R 6.0 0.0 
1 root 20 0 53684 7612 2528 S 0.0 0.2 
2 root “| 0 0 0Ss 0.0 0.0 
3 root 20 0 0 0 090S 0.0 0.0 
5 root 0 -20 0 9 90S 0.0 0.0 
7 root rt 0 0 0 090S 0.0 0.0 
8 root 20 0 0 0 0Ss 0.0 0.0 
9 root 20 0 0 9 9090S 0.0 0.0 
19 root 20 站 0 0 90S 0.0 0.0 
11 root 20 0 0 0 和 0 .0 
12 root 20 0 0 0 090S 0.0 0.0 
13 root 20 0 0 0 gS 刘 .B 8.8 
14 root 20 0 0 0 90S 0.0 0.0 
15 root 20 0 0 0 BBS ‘0.0 6.G 
16 root 20 0 0 0 0Ss 0.0 0.0 
17 root 20 0 0 0 0Ss 0.0 0.0 


st 


he+ 


d 


On+ 
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在 图 2-5 中 ，top 命令 执行 结果 的 前 5 行为 系统 整体 的 统计 信息 ， 其 所 代表 的 含义 如 下 。 

> 第 1 行 : 系统 时 间 、 运 行 时 间 、 登 录 终端 数 、 系 统 负 载 ( 三 个 数值 分 别 为 1 分 钟 、5 
分 钟 、15 分 钟 内 的 平均 值 ， 数 值 越 小 意味 着 负载 越 低 )。 

> 第 2 行 : 进程 总 数 、 运 行 中 的 进程 数 、 睡 眠 中 的 进程 数 、 停 止 的 进程 数 、 伪 死 的 进程 

> 第 3 行 : 用 户 占用 资源 百分比 、 系 统 内 核 占 用 资源 百分比 、 改 变 过 优先 级 的 进程 资源 
百分比 、 空 闲 的 资源 百分比 等 。 


























第 3 行 中 的 数据 均 为 CPU 数据 并 以 百分比 格式 显示 ,例如 “97.1 id 意味 着 有 97.19% 
的 CPU 处 理 器 资源 处 于 空闲 。 


> 第 4 行 : 物理 内 存 总 量 、 内 存 使 用 量 、 内 存 空闲 量 、 作 为 内 核 缓存 的 内 存量 。 
> 第 5 行 : 虚拟 内 存 总 量 、 虚 拟 内 存 使 用 量 、 虚 拟 内 存 空 闲 量 、 已 被 提前 加 载 的 内 存量 。 


8，pidof 命令 




















pidof 命令 用 于 查询 某 个 指定 服务 进程 的 PID 值 ， 格 式 为 “pidof [参数 ] [服务 名 称 ]”。 
每 个 进程 的 进程 号 码 值 (PID ) 是 唯一 的 ， 因 此 可 以 通过 PID 来 区 分 不 同 的 进程 。 例 如 ， 
可 以 使 用 如 下 命令 来 查询 本 机 上 sshd 服务 程序 的 PID: 


[root@linuxprobe ~]# pidof sshd 
2156 









































9.， kil 命令 


kill 命令 用 于 终止 某 个 指定 PID 的 服务 进程 ， 格 式 为 “kill [参数 ] [进程 PID]”。 
接 下 来 , 我 们 使 用 kill 命令 把 上 面 用 pidof 命令 查询 到 的 PID 所 代表 的 进程 终止 掉 , 其 命 
令 如 下 所 示 。 这 种 操作 的 效果 等 同 于 强制 停止 sshd 服务 。 


[root@linuxprobe ~]# kill 2156 








10，Kkillall 命令 


killall 命令 用 于 终止 某 个 指定 名 称 的 服务 所 对 应 的 全 部 进程 ， 格 式 为 :“killall [参数 ] [ 进 
程 名 称 ]”。 
通常 来 讲 ， 复 杂 软 件 的 服务 程序 会 有 多 个 进程 协同 为 用 户 提 供 服 务 ， 如 果 逐 个 去 结束 这 
些 进程 会 比较 麻烦 ， 此 时 可 以 使 用 killall 命令 来 批量 结束 某 个 服务 程序 带 有 的 全 部 进程 。 下 
面 以 httpd 服务 程序 为 例 , 来 结束 其 全 部 进程 ,由 于 RHEL7 系统 默认 没有 安装 httpd 服务 程序 ， 
因此 大 家 此 时 只 需 看 操作 过 程 和 输出 结果 即 可 ， 等 学 习 了 相关 内 容 之 后 再 来 实践 。 

[root@linuxprobe ~]# pidof httpd 

13581 13580 13579- 13578. 13577 13576 

[root@linuxprobe ~]# killall httpd 


[root@linuxprobe ~]# pidof httpd 
[root@linuxprobe ~]# 
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如 果 我 们 在 系统 终端 中 执行 一 个 命令 后 想 立 即 停止 它 , 可 以 同时 按 下 Ctrl + C 组 合 
键 (生产 环境 中 比较 常用 的 一 个 快捷 键 ) 这 样 将 立即 终止 该 命令 的 进程 。 或 者 ， 如 果 
有 些 命令 在 执行 时 不 断 地 在 屏幕 上 输出 信息 ， 影 响 到 后 续 命令 的 输入 ， 则 可 以 在 执 
行 命令 时 在 末尾 添加 上 一 个 及 符号 ， 这 样 命令 将 进入 系统 后 侣 来 执行 。 








作为 一 名 合格 的 运 维 人 员 , 想 要 更 快 、 更 好 地 了 解 Linux 服务 器 ,必须 具备 快速 查看 Linux 
系统 运行 状态 的 能 力 ， 因 此 接 下 来 会 逐个 讲解 与 网 卡 网 络 、 系 统 内 核 、 系 统 负载 、 内 存 使 用 
情况 、 当 前 启用 终端 数量 、 历 史 登 录 记 录 、 命 令 执行 记录 以 及 救援 诊断 等 相关 命令 的 使 用 方 
法 。 这 些 命令 都 超级 实用 ， 还 请 读者 用 心 学 习 ， 加 以 掌握 。 














1 ifconfig 命令 


ifconfig 命令 用 于 获取 网 卡 配置 与 网 络 状态 等 信息 ， 格 式 为 “ifconfig [网 络 设备 ] [参数 ] 。 
使 用 这 onfig 命令 来 查看 本 机 当前 的 网 卡 配置 与 网 络 状态 等 信息 时 ， 其 实 主要 查看 的 就 
是 网 卡 名称 、inet 参数 后 面 的 全 地址、ether 参数 后 面 的 网 卡 物理 地 址 ( 又 称 为 MAC 地 址 )， 
以 及 RX、TX 的 接收 数据 包 与 发 送 数 据 包 的 个 数 及 累计 流量 ( 即 下 面 加 粗 的 信息 内 容 ): 






































[root@linuxprobe ~]# ifconfig 
enol16777728: flags=4163<UP,BROADCAST,RUNNING, MULTICAST> mtu 1500 
inet 192.168.10.10 netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80::20c:29ff:fec4:a409 prefixlen 64 scopeid Ox20<link> 
ether 00:0c:29:c4:a4:09 txqueuelen 1000 (Ethernet) 
RX packets 36 bytes 3176 (3.1 KiB) 
RX errors 0 dropped 0 overruns 0 frame 0 
TX packets 38 bytes 4757 (4.6 KiB) 
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 


lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 
inet6 ::1 prefixlen 128 scopeid 0x10<host> 
loop txqueuelen 0 (Local Loopback) 
RX packets 386 bytes 32780 (32.0 KiB) 
RX errors 0 dropped 0 overruns 0 frame 0 
TX packets 386 bytes 32780 (32.0 KiB) 
Tx errors 0 dropped 0 overruns 0 carrier 0 collisions 0 





2.uname 命令 


uname 命令 用 于 查看 系统 内 核 与 系统 版 本 等 信息 ， 格 式 为 “uname [-a]”。 

在 使 用 uname 命令 时 ， 一般 会 固定 搭配 上 -a 参数 来 完整 地 查看 当前 系统 的 内 核 名 称 、 主 
机 和 名、 内核 发行 版 本 、 节 点 名 、 系 统 时 间 、 硬 件 名 称 、 硬 件 平台 、 处 理 器 类 型 以 及 操作 系统 
名 称 等 信息 。 
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[root@linuxprobe ~]# uname -a 
Linux linuxprobe.com 3.10.0-123.e17.x86 64 #1 SMP Mon May 5 11:16:57 EDT 2017 
x86 64 x86 64 x86 64 GNU/Linux 























顺带 一 提 ， 如 果 要 查看 当前 系统 版 本 的 详细 信息 ， 则 需要 查看 redhat-release 文件 ， 其 命 
令 以 及 相应 的 结果 如 下 : 


























[root@linuxprobe ~]# cat /etc/redhat-release 
Red Hat Enterprise Linux Server release 7.0 (Maipo) 





3. uptime 命令 


uptime 用 于 查看 系统 的 负载 信息 ， 格 式 为 uptime。 
uptime 命令 真 的 很 棒 ， 它 可 以 显示 当前 系统 时 间 、 系 统 已 运行 时 间 、 启 用 终端 数量 以 
及 平均 负载 值 等 信息 。 平均 负载 值 指 的 是 系统 在 最 近 1 分 钟 、5 分 钟 、15 分 钟 内 的 压力 情 
况 ( 下面 加 粗 的 信息 部 分 ); 负载 值 越 低 越 好 ， 尽 量 不 要 长 期 超过 1， 在 生产 环境 中 不 要 
超过 5。 









































[root@linuxprobe ~]# uptime 
22:49:55 up 10 min, 2 users, load average: 0.01, 0.19, 0.18 





4.， free 命令 


free 用 于 显示 当前 系统 中 内 存 的 使 用 量 信息 ， 格 式 为 “free [-h]”。 

为 了 保证 Linux 系统 不 会 因 资 源 耗 尽 而 突然 宕 机 , 运 维 人 员 需 要 时 刻 关 注 内 存 的 使 用 量 。 
在 使 用 free 命令 时 , 可 以 结合 使 用 -h 参数 以 更 人 性 化 的 方式 输出 当前 内 存 的 实时 使 用 量 信息 。 
表 2-8 所 示 为 在 刘 堵 老师 的 电脑 上 执行 free -h 命令 之 后 的 输出 信息 。 需 要 注意 的 是 ， 输 出 信 
息 中 的 中 文 注释 是 作者 自行 添加 的 内 容 ， 实 际 输出 时 没有 相应 的 参数 解释 。 



















































































[root@linuxprobe ~]# free -h 
表 2-8 执行 free -h 命令 后 的 输出 信息 
进程 共享 的 | 磁盘 缓存 的 缓存 的 
内 存 总 量 | 。 已 用 量 可 用 量 a . 二 
内 存量 内 存量 内 存量 
total Used free Shared buffers cached 
Mem 1.8GB 1.3GB 542MB 9.8MB 1.6MB 413MB 
-/+ buffers/cache 869MB 957MB 
Swap 2.0GB 0 2.0GB 




















5. who 命令 


who 用 于 查看 当前 登入 主机 的 用 户 终端 信息 ， 格 式 为 “who [参数 ]”。 
这 三 个 简单 的 字母 可 以 快速 显示 出 所 有 正在 登录 本 机 的 用 户 的 名 称 以 及 他 们 正在 开启 的 
终端 信息 。 表 2-9 所 示 为 执行 who 命令 后 的 结果 。 
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[root@linuxprobe ~]# who 
表 2-9 执行 who 命令 的 结果 
登录 的 用 户 名 终端 设备 登录 到 系统 的 时 间 
root :0 2017-08-24 17:52 (:0) 
root pts/0 2017-08-24 17:52 (:0) 





6. last 命令 





last 命令 用 于 查看 所 有 系统 的 登录 记录 ， 格 式 为 “last [参数 ]” 








使 用 last 命令 可 以 查看 本 机 的 登录 记录 。 但 是 ， 由 于 这 











判断 系统 有 无 被 恶意 入 侵 ! 








文 些 些 信息 都 是 届 日 志文 件 的 形式 保 
存在 系统 中 ， 因 此 黑客 可 以 很 容易 地 对 内 容 进行 算 改 。 千 万 不 要 单纯 以 该 命令 的 输出 信息 而 











[root@linuxprobe ~]# last 

root pts/0 :0 Mon Aug 24 17:52 still logged in 
root 0 QO Mon Aug 24 17:52 still logged in 
(unknown 站 站 Mon Aug 24 17:50 - 17:52 (00:02) 
reboot System boot 3.10.0-123.el7.x Tue Aug 25 01:49 - 18:17 (T= 
OE pts/0 sO Mon Aug 24 15:40 - 08:54 和 二 3 二 村 
root pts/0 Pt EEE YUL 10 F0497 "L937 (45+04:47) 
RS 省 略 部 分 登录 信息 .pp 

7. history 命令 

history 命令 用 于 显示 历史 执行 过 的 命令 ， 格 式 为 “history [-c]”。 


history 命令 应 该 是 作者 最 喜欢 的 命令 。 执行 history 








命令 能 显示 出 当前 用 户 在 本 地 计算 机 


中 执行 过 的 最 近 1000 条 命令 记录 。 如 果 觉 得 1000 不 够 用 , 还 可 以 自 定义 /etc/profile 文件 中 的 
HISTSIZE 变量 值 。 在 使 用 history 命令 时 ， 如 果 使 用 -c 参数 则 会 清空 所 有 的 命令 历史 记录 。 
还 可 以 使 用 “! 编 码 数字 ”的 方式 来 重复 执行 某 一 次 的 命令 。 总 之 ，history 命令 
































玩法 等 待 您 去 开发 。 


令 有 很 多 有 趣 的 





[root@linuxprobe ~]# history 

1 tar xzvf VMwareTools-9.9.0-2304977.tar.gz 
2 cd vmware-tools-distrib/ 
3 1s 

4 ./vmware-install.pl -d 
5 reboot 
6 
8 
9 


df -~—h 

cd /run/media/ 

ls 

cd root/ 
10 1s 
11 cd VMware\ Tools/ 
之] 总 


13 cp VMwareTools-9.9.0-2304977.tar.gz /home 
14 cd /home 

15 ls 

16 tar xzvf VMwareTools-9.9.0-2304977.tar.gz 
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17 cd vmware-tools-distrib/ 

18 1s 

19 ./vmware-install.pl -d 

20 reboot 

21 history 

[root@linuxprobe ~]# !15 

anaconda-ks.cfg Documents initial-setup-ks.cfg Pictures Templates 
Desktop Downloads Music Public Videos 





历史 命令 会 被 保存 到 用 户 家 目录 中 的 .bash_history 文件 中 。Linux 系统 中 以 点 (.) 开 


头 的 文件 均 代 表 隐 藏 文件 ， 这 些 文件 大 多 数 为 系统 服务 文件 ， 可 以 用 cat 命令 查看 其 文件 
内 容 。 








[root@linuxprobe ~]# cat ~/.bash _ history 








要 清空 当前 用 户 在 本 机 上 执行 的 Linux 命令 历史 记录 信息 ， 可 执行 如 下 命令 : 








[root@linuxprobe ~]# history -c 





8. sosreport 命令 


sosreport 命令 用 于 收集 系统 配置 及 架构 信息 并 输出 诊断 文档 ， 格 式 为 sosreport。 
当 Linux 系统 出 现 故障 需要 联系 技术 支持 人 员 时 ， 大 多 数 时 候 都 要 先 使 用 这 个 命令 来 简 











单 收集 系统 的 运行 状态 和 服务 配置 信息 ， 以 便 让 技术 支持 人 员 能 够 远程 解决 一 些小 问题 ， 亦 
或 让 他 们 能 提前 了 解 某 些 复杂 问题 。 在 下 面 的 输出 信息 中 ， 加 粗 的 部 分 是 收集 好 的 资料 压缩 
文件 以 及 校 验 码 ， 将 其 发 送 给 技术 支持 人 员 即 可 : 
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[root@linuxprobe ~]# sosreport 

sosreport (version 3.0) 

This command will collect diagnostic and configuration information from 
this Red Hat Enterprise Linux system and installed applications. 


An archive containing the collected information will be generated in 
/var/tmp and may be provided to a Red Hat support representative. 

Any information provided to Red Hat will be treated in accordance with 
the published support policies at: 

https://access.redhat.com/support/ 

The generated archive may contain data considered sensitive and its 
content should be reviewed by the originating organization before being 
passed to any third party. 


No changes will be made to system configuration. 
Press ENTER to continue, or CTRL-C to quit. 此 处 敲 击 回 车 来 确认 收集 信息 


Please enter your first initial and last name [Linuxprobe.com] : 此 处 敲 击 回 车 来 确认 主机 编号 
Please enter the case number that you are generating this report for: 此 处 敲 击 回 
车 来 确认 主机 编号 


Running plugins. Please wait 

Running 70/70: yum... 

Creating compressed archive... 

Your sosreport has been generated and saved in: 


2.5 工作 目录 切换 命令 


/var/tmp/sosreport-linuxprobe.com-20170905230631 .七 ar .XZ 
The checksum is: 79436cdf791327040efde48c452c6322 
Please send this file to your support representative. 





| 2.5 ”工作 目录 切换 命令 








工作 目录 指 的 是 用 户 当 前 在 系统 中 所 处 的 位 置 。 由 于 工作 目录 会 牵涉 系统 存储 结构 相关 





的 知识 ， 因 此 第 6 章 将 详细 讲解 这 部 分 内 容 。 读 者 只 需 简单 了 解 一 人 
如 果 不 能 完全 掌握 也 没有 关系 ， 毕 况 Linux 系统 的 知识 体系 太 过 庞大 ， 每 一 位 初学 人 员 都 需 
要 经 历 这 么 一 段 时 期 。 

















1. pwd 命令 


pwd 命令 用 于 显示 用 户 当前 所 处 的 工作 目录 ， 格 式 为 “pwd [选项 ]”。 





[root@linuxprobe etc]# pwd 
/etc 





心 


2. cd 命 


cd 命令 用 于 切换 工作 路 径 ， 格 式 为 “cd [目录 名 称 ]” 
这 个 命令 应 该 次 是 最 常用 的 一 个 Linux 命令 下 oT cd 命令 迅速 、 灵 活 地 切换 到 不 同 


除了 常见 的 切换 目录 方式 ， 还 可 以 使 用 “cd -” 命 令 返 回 到 上 一 次 所 处 的 目录 ， 


使 用 “ 


”命令 进入 上 级 目录 ， 以 及 使 用 “cd ~” 人 亦 或 使 用 





“cd ~username” 切 换 到 其 他 用 户 的 家 目录 。 例 如 ， 可 以 使 用 “cd 路 径 ” 的 方式 切换 进 /etc 目 
录 中 : 





[root@linuxprobe ~]# cd /etc 





同样 的 道理 ， 可 使 用 下 述 命令 切换 到 /bin 目录 中 : 





[root@linuxprobe etc]# cd /bin 





此 时 ， 要 返回 到 上 一 次 的 目录 ( 即 /etc 目录 )， 可 执行 如 下 命令 





[root@linuxprobe bin]# cd 一 
/etc 
[root@linuxprobe etc]t# 











还 可 以 通过 下 面 的 命令 快速 切换 到 用 户 的 家 目录 : 

















[root@linuxprobe etc]# cd ~ 
[root@linuxprobe ~]# 





3. ls 命令 


ls 命令 用 于 显示 目录 中 的 文件 信息 ， 格 式 为 “ls [选项 ] [文件 ] ” 
所 处 的 工作 目录 不 同 ， 当 前 工作 目 ne 使 用 ls 命令 的 “-a” 参 数 看 




















到 全 部 文件 ( 包括 隐藏 文件 )， 使 用 “-1” 参 数 可 以 查看 文件 的 属性 、 大 小 等 详细 信息 。 将 


43 


新 手 必须 掌握 的 Linux 命令 






































这 两 个 参数 整合 之 后 ， 再 执行 ls 命令 即 可 查看 当前 目录 中 的 所 有 文件 并 输出 这 些 文件 的 属 
性 信息 : 
[root@linuxprobe ~]# ls -al 
total 60 
dr-xr-x--—-. 14 root root 4096 May 4 07:56 . 
drwxr-xr-x. 17 root root 4096 May 4 15:55 
ep A et 1 root root 1213 May 4 15:44 anaconda-ks.cfg 
一 KW 一 一 一 一 一 一 一 1 root root 957 May 4 07:54 .bash history 
-PWT==F=m, Yoo0t Toot 18 Dec 28 2013 .bash logout 
—rw-r--r--. 1 root root 176 Dec 28 2013 .bash profile 
—rWw-r--r--. 1 root root 176 Dec 28 2013 .bashrc 
QLEWXKX 一 一 一 一 一 一 10 root root 4096 May 4 07:56 .cache 
对 15 root root 4096 May 4 07:49 .config 
WEE 1 oo0t ro6o0t <100. Deec 28. .2013. seshre 
drWwx-—- 一 一 一 一 3 root root 24 May 4 07:46 .dbus 
drwxr-xr-x. 2 root root 6 May 4 07:49 Desktop 
drwxr-xr-x. 2 root root 6 May 4 07:49 Documents 
drwxr-xr-x. 2 root root 6 May 4 07:49 Downloads 
一 上 WwW 一 一 一 一 一 一 一 1 root root 16 May 4 07:49 .esd auth 
一 FW 一 一 一 一 一 一 一 1 root root 628 May 4 07:56 .ICEauthority 
一 工 W 一 工 一 一 工 一 一 1 root root 1264 May 4 07:48 initial-setup-ks.cfg 
drWwx-—- 一 一 一 一 3 root root 18 May 4 07:49 .local 
drwxr-xr-x. 2 root root 6 May 4 07:49 Music 
drwxr-xr-x. 2 root root 6 May 4 07:49 Pictures 
drwxr-xr-x. 2 root root 6 May 4 07:49 Public 
—rw-r--r--. 1 root root 129 Dec 28 2013 .tcshrc 
drwxr-xr-x. 2 root root 6 May 4 07:49 Templates 
drwxr-xr-x. 2 root root 6 May 4 07:49 Videos 
eh 1 root root 1962 May 4 07:54 .viminfo 
如 果 想 要 查看 目录 属性 信息 ， 则 需要 额外 添加 一 个 -d 参数 。 例 如 ， 可 使 用 如 下 命令 查看 

















/etc 目录 的 权限 与 属性 信息 : 





[root@linuxprobe ~]# ls -ld /e 


drwxr—xr -Xx 


上 站 


132 root root 8192 Jul 10 10:48 /etc 
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上 


Ea 











通过 前 面 几 个 小 节 的 学 习 ， 读 者 应 该 基本 掌握 了 切换 工作 目录 及 对 文件 的 管理 方法 。 





Linux 系统 中 “一 切 都 是 文件 ”"， 而 对 服务 程序 进行 配置 自然 也 就 是 编辑 程序 的 配置 文件 。 如 
果 不 能 熟练 地 查阅 系统 或 服务 的 配置 文件 ， 那 以 后 工作 时 可 就 真 的 要 尴 炊 了 。 本 市 将 讲解 儿 




















条 用 于 查看 文本 文件 内 容 的 命令 。 至 于 编辑 器 使 用 起 来 比较 复杂 ， 因 此 将 放 到 





脚本 内 容 一 起 讲解 。 


1.cat 命令 

















钱 


ba 








4 章 与 Shell 


cat 命令 用 于 查看 纯 文 本 文件 〈 内 容 较 少 的 )， 格 式 为 “cat [选项 ] [文件 ]”。 
Linux 系统 中 有 多 个 用 于 查看 文本 内 容 的 命令 ， 每 个 命令 都 有 自己 的 特点 ， 比 如 这 个 cat 
命令 就 是 用 于 查看 内 容 较 少 的 纯 文本 文件 的 。cat 这 个 命令 也 很 好 记 , 因为 cat 在 英语 中 是 “ 猫 ” 
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的 意思 ， 小 猫咪 是 不 是 给 您 一 种 娇小 、 可 爱 的 感觉 呢 ? 


2.6 ”文本 文件 编辑 命令 


如 果 在 查看 文本 内 容 时 还 想 顺 便 显示 行 号 的 话 ， 不 妨 在 cat 命令 后 面 追加 一 个 -n 参数 : 








[root@linuxprobe ~]# cat -n initial-setup-ks.cfg 


下 #version=RHEL7 

2 # X Window System configuration information 
3 xconfig --startxonboot 

4 

5 # License agreement 

6 eula --agreed 

2 # System authorization information 

8 auth --enableshadow --passalgo=sha512 
9 # Use CDROM installation media 
0 cdrom 
入 # Run the Setup Agent on first boot 
事 和 2 firstboot --enable 
3 # Keyboard layouts 
14 keyboard --vckeymap=us -~-xlayouts="'us" 
5 # System language 
16 lang en US.UTF-8 


re 省 略 部 分 输出 信息 .………… 








2. more 命令 


more 命令 用 于 查看 纯 文本 文件 ( 内 容 较 多 的 )， 格 式 为 “more [选项 ] 文 件 ”。 

如 果 需 要 阅读 长 篇 小 说 或 者 非常 长 的 配置 文件 ,那么 “小 猫咪 ”可 就 真 的 不 适合 了 。 因 
为 一 旦 使 用 cat 命令 阅读 长 篇 的 文本 内 容 , 信息 就 会 在 屏幕 上 快速 翻滚, 导致 自己 还 没有 来 得 
及 看 到 ， 内 容 就 已 经 翻 篇 了 。 因 此 对 于 长 篇 的 文本 内 容 ， 推 荐 使 用 more 命令 来 查看 。more 

















命令 会 在 最 下 面 使 用 百分比 的 形式 来 提示 您 已 经 阅读 了 多 少 内 容 
车 键 向 下 翻 页 : 





俐 
D 4 




















还 可 以 使 用 空格 键 或 回 





root@linuxprobe ~]# more initial-setup-ks.cfg 
version=RHEL7 

X Window System configuration information 
xconfig --startxonboot 


License agreement 

eula --agreed 

System authorization information 
auth --enableshadow --passalgo=sha512 
Use CDROM installation media 

cdrom 

Run the Setup Agent on first boot 
firstboot --enable 

Keyboard layouts 

keyboard --vckeymap=us -~-xlayouts="'us" 
System language 

lang en US.UTF-8 


ignoredisk --only-use=sda 








Network information 


network --bootproto=dhcp --device=eno16777728 --onboot=off --ipv6=auto 


network --bootproto=dhcp --hostname=linuxprobe.com 
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3. head 命令 


head 命令 用 于 查看 纯 文 本 文档 的 前 N 行 ， 格 式 为 “head [选项 ] [文件 ]”。 
在 阅读 文本 内 容 时 ， 谁 也 难以 保证 会 按照 从 头 到 尾 的 顺序 往 下 看 完整 个 文件 。 如 果 只 想 
查看 文本 中 前 20 行 的 内 容 ， 该 怎么 办 呢 ? head 命令 可 以 派 上 用 场 了 : 











root@linuxprobe ~]# head -n 20 initial-setup-ks.cfg 
version=RHEL7 

X Window System configuration information 
xconfig --startxonboot 


License agreement 

eula --agreed 

System authorization information 
auth -enableshadow --passalgo=sha512 
Use CDROM installation media 

cdrom 

Run the Setup Agent on first boot 
firstboot --enable 

Keyboard layouts 

keyboard --vckeymap=us -~-xlayouts="'us"' 
System language 

lang en US.UTF-8 


ignoredisk --only-use=sda 
Network information 


network --bootproto=dhcp --device=eno16777728 --onboot=off --ipv6=auto 











root@linuxprobe ~]# 





4. tail 命令 


tail 命令 用 于 查看 纯 文本 文档 的 后 N 行 或 持续 刷新 内 容 ， 格 式 为 “tail [选项 ] [文件 ]”。 

我 们 可 能 还 会 遇 到 另外 一 种 情况 ， 比 如 需要 查看 文本 内 容 的 最 后 20 行 , 这 时 就 需要 用 到 
tail 命令 了 。tail 命令 的 操作 方法 与 head 命令 非常 相似 ， 只 需要 执行 “tail -n 20 文件 名 ”命令 
就 可 以 达到 这 样 的 效果 。tail 命令 最 强悍 的 功能 是 可 以 持续 刷新 一 个 文件 的 内 容 ， 当 想 要 实时 
查看 最 新 日 志文 件 时 ， 这 特别 有 用 ， 此 时 的 命令 格式 为 “tail -f 文件 名 ”: 























[root@linuxprobe ~]# tail -f /var/log/messages 

May 4 07:56:38 localhost gnome-session: Window manager warning: Log level 16: 
STACK OP ADD: window 0xle00001 already in stack 

May 4 07:56:38 localhost gnome-session: Window manager warning: Log level 16: 
STACK OP ADD: window Oxle00001 already in stack 

May 4 07:56:38 localhost vmusr[12982]: [ warning] [Gtk] gtk disable setlocale() 
must be called before gtk init() 

May 4 07:56:50 localhost systemd-logind: Removed session cl . 

Aug 1 01:05:31 localhost systemd: Time has been changed 

Aug 1 01:05:31 localhost systemd: Started LSB: Bring up/down networking. 

Aug 1 01:08:56 localhost dbus-daemon: dbus[1124]: [system] Activating service 
name='com.redhat .SubscriptionManager' (using servicehelper) 

Aug 101:08:56 localhost dbus[1124]: [system] Activating service name="'com. 
redhat .SubscriptionManager' (using servicehelper) 
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Aug 1 01:08:57 localhost dbus-daemon: dbus[1124]: [system] Successfully activated 
service "com.redqhat .SubscriptionManager 

Aug 1 01:08:57 localhost dbus[1124]: [system] Successfully activated service ' 
com.redhat .SubscriptionManager 





5.，tr 命令 


fr 命令 用 于 替换 文本 文件 中 的 字符 ， 格 式 为 “tr [原始 字符 ] [目标 字符 ]”。 

在 很 多 时 候 ， 我 们 想 要 快速 地 替换 文本 中 的 一 些 词汇 ， 又 或 者 把 整个 文本 内 容 都 进行 蔡 
换 ， 如 果 进 行 手 工 蔡 换 ,难免 工作 量 太 大 ， 尤 其 是 需要 处 理 大 批量 的 内 容 时 ， 进 行 手工 蔡 换 
更 是 不 现实 。 这 时 ， 就 可 以 先 使 用 cat 命令 读 取 待 处 理 的 文本 ， 然 后 通过 管道 符 ( 详 见 第 3 
章 ) 把 这 些 文本 内 容 传递 给 tr 命令 进行 替换 操作 即 可 。 例 如 ， 把 某 个 文本 内 容 中 的 英文 全 部 
替换 为 大 写 : 












































root@linuxprobe ~]# cat anaconda-ks.cfg | tr [am] [A=] 
VERSION=RHEL7 

SYSTEM AUTHORIZATION INEORMATION 
AUTH --ENABLESHADOW --PASSALGO=SHA512 


USE CDROM INSTALLATION MEDIA 

CDROM 

RUN THE SETUP AGENT ON FIRST BOOT 
FIRSTBOOT --ENABTLE 

IGNOREDISK --ONLY-USE=SDA 

KEYBOARD LAYOUTS 

KEYBOARD --VCKEYMAP=US --XLAYOUTS='US 
SYSTEM LANGUAGE 

LANG EN US.UTF-8 


NETWORK INFORMATION 

NETWORK --BOOTPROTO=DHCP --DEVICE=ENO16777728 --ONBOOT=OFF --IPV6=AUTO 
NETWORK --HOSTNAME=LOCALHOST .LOCALDOMAIN 

ROOT PASSWORD 

ROOTPW --ISCRYPTED $6$PDJJF42G8C6PLO69$IIT.PX/YFAQPOOENW2PA7TMOMKJLYOAE2ZJMZ2UZJ7 
BH3UO4OWTR]1 .WK/HXZ3XIGMZGJPCS/MGPYSSOI8HPCT8B/ 

SYSTEM TIMEZONE 

TIMEZONE AMERICA/NEW YORK --ISUTC 

USER --NRAME=LINUXPROBE --PASSWORD=$6$A9V3INSTNBWEIR7D$JEGFYWBCDOOOKJ9SODECCDO. 
ZLF40SH2AZ2SS2R0O5B6LZ2AO0V2K .RJIWSBALL2FEKQVGF 6400A/TOK6J.7GUTO/ --ISCRYPTED —-— 
GECOS="LINUXPROBE" 

X WINDOW SYSTEM CONFIGURATION INFORMATION 

XCONFIG --STARTXONBOOT 

SYSTEM BOOTLOADER CONFIGURATION 

BOOTLOADER --LOCATION=MBR --BOOT-DRIVE=SDA 

AUTOPART 一 -TYPE=LVM 

PARTITION CLEARING INFORMATION 

CLEARPART --NONE --INITLABEL 

















SPACKAGES 

@BASE 

QCORE 
@DESKTOP-DEBUGGING 
@DIAL-UP 

@FONTS 
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QGNOME-DESKTOP 
QGUEST-AGENTS 
QGUEST-DESKTOP-AGENTS 
QINPUT-METHODS 
QINTERNET-BROWSER 
QMULTIMEDIA 
@PRINT-CLIENT 

QX11 


S$END 





6.， wc 命令 


wc 命令 用 于 统计 指定 文本 的 行 数 、 字 数 、 字 节 数 ,格式 为 “wc [参数 ] 文本 ”。 
每 次 我 在 课堂 上 讲 到 这 个 命令 时 , 总 有 同学 会 联想 到 一 种 公共 设施 , 其实 这 两 者 毫 无 关联 。Linux 


系统 中 的 we 命令 用 于 统计 文本 的 行 数 、 字 数 、 字 广 数 等 。 如 果 为 了 方便 自己 记 住 这 个 命令 的 作用 ， 
也 可 以 联想 到 上 厕所 时 好 无 获 ， 无 聊 到 数 完了 手中 的 如 而 读物 上 有 多 少 行 字 。 





wc 的 参数 以 及 相应 的 作用 如 表 2-10 所 示 。 














表 2-10 wc 的 参数 以 及 作用 
参数 作用 
= 只 显示 行 数 
只 显示 单词 数 
-Cc 只 显示 字 节 数 








在 Linux 系统 中 ，passwd 是 用 于 保存 系统 账户 信息 的 文件 ， 要 统计 当前 系统 中 有 多 少 个 

















用 户 ， 可 以 使 用 下 面 的 命令 来 进行 查询 ， 是 不 是 很 神奇 : 





[root@linuxprobe ~]# wc -1 /etc/passwd 
38 /etc/passwd 





7. stat 命令 


stat 命令 用 于 查看 文件 的 具体 存储 信息 和 时 间 等 信息 ， 格 式 为 “stat 文件 名 称 ”。 
stat 命令 可 以 用 于 查看 文件 的 存储 信息 和 时 间 等 信息 , 命令 stat anaconda-ks.cfg 会 显示 出 

















文件 的 三 种 时 间 状 态 (已 加 粗 ): Access、Modify、Change。 这 三 种 时 间 的 区 别 将 在 下 面 的 touch 
命令 中 详细 详解 : 











[root@linuxprobe ~]# stat anacondqa-ks .cfd 

File: ‘anaconda-ks.cfg’ 

Size: 1213 Blocks: 8 IO Block: 4096 regular file 

Device: fd00h/64768d Inode: 68912908 Links: 1 

Access: (0600/-rw------—-— ): "Uid (0/~ root). Gd: .( 0/ root) 
Context: System u:object r:admin home t:s0 

Access: 2017-07-14 01:46:18.721255659 -0400 

Modify: 2017-05-04 15:44:36.916027026 -0400 

Change: 2017-05-04 15:44:36.916027026 -0400 

Birtlii 
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8.，cut 命令 


cut 命令 用 于 按 “ 列 ”提取 文本 字符 ,格式 为 “cut [参数 ] 文本 ”。 

在 Linux 系统 中 ， 如 何 准确 地 提取 出 最 想 要 的 数据 ， 这 也 是 我 们 应 该 重点 学 习 的 内 容 。 一般 
而 言 ， 按 基于 “ 行 ”的 方式 来 提取 数据 是 比较 简单 的 ， 只 需要 设置 好 要 搜索 的 关键 词 即 可 。 但 是 
如 果 按 列 搜 索 ， 不 仅 要 使 用 - 参数 来 设置 需要 看 的 列 数 ， 还 需要 使 用 -d 参数 来 设置 间 隅 符号 。 
passwd 在 保存 用 户 数据 信息 时 , 用 户 信息 的 每 一 项 值 之 间 是 采用 冒号 来 间隔 的 ， 接 下 来 我 们 使 用 
下 述 命令 尝试 提取 出 passwd 文件 中 的 用 户 名 信息 , 即 提取 以 冒号 ( : ) 为 间隔 符号 的 第 一 列 内 容 : 


















































[root@linuxprobe ~]# head -n 2 /etc/passwd 
root:x:0:0:root:/root:/bin/bash 
bin:x:1:1:bin:/bin:/sbin/nologin 
[root@linuxprobe ~]# cut -d: -fl /etc/passwd 
root 

bin 

daemon 

adm 

JP 

sync 

shutdown 

halt 

mail 

operator 

games 

ftp 

nobody 

dbus 

polkitd 

unbound 

colord 

usbmuxd 

avahi 

avahi-autoipd 
libstoragemgmt 
saslauth 

qemu 

rpc 

rpcuser 

nfsnobody 

ERIt 

radvd 

ntp 

chrony 

abrt 

pulse 

gdm 
gnome-initial-setup 
postfix 

sshd 

tcpdump 

linuxprobe 
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9. diff 命令 


diff 命令 用 于 比较 多 个 文本 文件 的 差异 ， 格 式 为 “diff [参数 ] 文件 ”。 

在 使 用 diff 命令 时 ， 不 仅 可 以 使 用 --brief 参数 来 确认 两 个 文件 是 否 不 同 ， 还 可 以 使 用 -c 
参数 来 详细 比较 出 多 个 文件 的 差异 之 处 ， 这 绝对 是 判断 文件 是 否 被 算 改 的 有 力 神 器 。 例 如 ， 
先 使 用 cat 命令 分 别 查看 diff_A.txt 和 diff_B.txt 文件 的 内 容 ， 然 后 进行 比较 : 






































[root@linuxprobe ~]# cat diff A.txt 
Welcome to linuxprobe.com 

Red Hat certified 

Free Linux Lessons 

Professional guidance 

Linux Course 

[root@linuxprobe ~]# cat diff B.txt 
Welcome tooo linuxprobe.com 


Red Hat certified 
Free Linux LeSSonsS 
PN RAR //////// 
Professional guidance 


Linux Course 





接 下 来 使 用 diff --brief 命令 显示 比较 后 的 结果 ， 判 断 文件 是 否 相 同 : 





[root@linuxprobe ~]# diff --brief diff A.txt diff B.txt 
Files diff A.txt and diff B.txt differ 


最 后 使 用 带 有 -c 参数 的 diff 命令 来 描述 文件 内 容 具体 的 不 同 : 








[root@linuxprobe ~]# diff -cC diff A.txt diff B.txt 
xxx diff A.txt 2017-08-30 18:07:45.230864626 +0800 
--- diff B.txt 2017-08-30 18:08:52.203860389 +0800 


大 大 大 大 大 大 大 大 大 大 大 大 大 大 大 


大 大 大 We 大 大 大 大 


! Welcome to linuxprobe.com 
Red Hat certified 

! Free Linux Lessons 
Professional guidance 

Linux Course 

en 3 eR 

! Welcome tooo linuxprobe.com 
! 

Red Hat certified 

! Free Linux LeSSonS 

LU A //////// 
Professional guidance 


Linux Course 
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目前 为 止 ， 我 们 学 习 Linux 命令 就 像 是 在 夯实 地 基 ， 虽然 表面 上 暂时 还 看 不 到 成 果 ， 但 
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其 实 大 家 的 内 功 已 经 相当 雄厚 了 。 在 Linux 系统 的 日 常 运 维 工作 中 ， 还 需要 掌握 对 文件 的 创 
建 、 修 改 、 复 制 、 剪 切 、 更 名 与 删除 等 操作 。 











1.，touch 命令 


touch 命令 用 于 创建 空白 文件 或 设置 文件 的 时 间 ， 格 式 为 “touch [选项 ] [文件 ]”。 

在 创建 空白 的 文本 文件 方面 ， 这 个 touch 命令 相当 简捷 ， 简 捷 到 没有 必要 铺 开 去 讲 。 
比如 ，touch linuxprobe 命令 可 以 创建 出 一 个 名 为 linuxprobe 的 空白 文本 文件 。 对 touch 命 
邻 来 讲 ， 有 难度 的 操作 主要 是 体现 在 设置 文件 内 容 的 修改 时 间 (mtime )、 文件 权限 或 属性 
的 更 改 时 间 (ctime ) 与 文件 的 读 取 时 间 (atime ) 上 面 。touch 命令 的 参数 及 其 作用 如 表 2-11 
所 示 。 




















ol 

















表 2-11 touch 命令 的 参数 及 其 作用 
参数 作用 
和 仅 修 改 “ 读 取 时 间 ”(atime ) 
“nn 仅 修改 “修改 时 间 ”( mtime ) 
—d 同时 修改 atime 与 mtime 





接 下 来 , 我 们 先 使 用 1s 命令 查看 一 个 文件 的 修改 时 间 , 然后 修改 这 个 文件 , 最 后 再 通过 touch 
命令 把 修改 后 的 文件 时 间 设 置 成 修改 之 间 的 时 间 (很 多 黑客 就 是 这 样 做 的 呢 ): 

















root@linuxprobe ~]# ls -1 anaconda-ks.cfg 
Sh . 1 root root 1213 May 4 15:44 anaconda-ks.cfg 

root@linuxprobe ~]# echo "Visit the LinuxProbe.com to learn linux skills" >> 
anaconda-ks.cfg 

root@linuxprobe ~]# ls -1 anaconda-ks.cfg 

一 IW 一 一 一 一 一 一 一 . 1 root root 1260 Aug 2 01:26 anaconda-ks.cfg 

root@linuxprobe ~]# touch -qd "2017-05-04 15:44" anaconda-ks.cfg 
root@linuxprobe ~]# ls -1 anaconda-ks.cfg 

0 OR /TT . 1 root root 1260 May 4 15:44 anaconda-ks.cfg 





2. mkdir 命令 





mkdir 命令 用 于 创建 空白 的 目录 ， 格 式 为 “mkdir [选项 ] 目录 ”。 
在 Linux 系统 中 , 文件 夹 是 最 常见 的 文件 类 型 之 一 。 除 了 能 创建 单个 空白 目录 外 ，mkdir 
命令 还 可 以 结合 -p 参数 来 递归 创建 出 具有 购 套 释 层 关系 的 文件 目录 。 


[root@linuxprobe ~]# mkdir linuxprobe 


























[root@linuxprobe ~]# cd linuxprobe 
[root@linuxprobe linuxprobe]# mkdir -p a/b/c/d/e 
[root@linuxprobe linuxprobel]# cd a 
[root@linuxprobe al# cd b 

[root@linuxprobe b]# 





3. cp 命令 

cp 命令 用 于 复制 文件 或 目录 ， 格 式 为 “cp [选项 ] 源 文件 目标 文件 ”。 

大 家 对 文件 复制 操作 应 该 不 陌生 ,在 Linux 系统 中 ， 复 制 操作 具体 分 为 3 种 情况 
> 如 果 目 标 文 件 是 目录 ， 则 会 把 源 文件 复制 到 该 目录 中 ; 
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> 如 果 目 标 文 件 也 是 普通 文件 ， 则 会 询问 是 否 要 覆盖 它 ; 
> 如 果 目 标 文件 不 存在 ， 则 执行 正常 的 复制 操作 。 
cp 命令 的 参数 及 其 作用 如 表 2-12 所 示 。 


















































表 2-12 cp 命令 的 参数 及 其 作用 
参数 作用 
-Pp 保留 原始 文件 的 属性 
-qd 若 对 象 为 “链接 文件 ”， 则 保留 该 “链接 文件 ”的 属性 
-r 递归 持续 复制 (用 于 目录 ) 
-i 若 目标 文件 存在 则 询问 是 否 覆 盖 
-a 相当 于 -pdr (p、d、r 为 上 述 参 数 ) 





JS 重生 | 








接 下 来 ,使 用 touch 创建 一 个 名 为 installlog 的 普通 空白 文件 ， 然 后 将 其 复制 为 一 份 名 为 











x.log 的 备份 文件 ， 最 后 再 使 用 ls 命令 查看 目录 中 的 文件 : 





[root@linuxprobe ~]# touch install.log 
[root@linuxprobe ~]# cp install.log X. Lod 
[root@linuxprobe ~]# ls 

install.log x.1log 





4. mv 命令 





my 命令 用 于 剪 切 文件 或 将 文件 重 命名 , 格式 为 "mv [选项 ] 源 文件 [目标 路 径 | 目标 文件 名 ]”。 
剪 切 操作 不 同 于 复制 操作 ， 因 为 它 会 默认 把 源 文件 删除 掉 ， 只 保留 剪 切 后 的 文件 。 如 果 
































在 同一 个 目录 中 对 一 个 文件 进行 剪 切 操作 ， 其 实 也 就 是 对 其 进行 重 命名 : 




















[root@linuxprobe ~]# mv x.log linux.log 
[root@linuxprobe ~]# ls 
install.log linux.log 





5. rm 命令 


rm 命令 用 于 删除 文件 或 目录 ， 格 式 为 “rm [选项 ] 文件 ”。 


在 Linux 系统 中 删除 文件 时 ， 系 统 会 默认 向 您 询问 是 否 要 执行 删除 操作 ， 如 果 不 想 总 是 

















需要 在 rm 命令 后 面 一 个 -参数 才 可 以 , 否则 删除 不 掉 。 我 们 来 尝试 删除 前 面 创建 的 
和 linux.log 文件 : 


看 到 这 种 反复 的 确认 信息 , 可 在 rm 命令 后 跟 上 -f 参数 来 强制 删除 。 另 外 , 想 要 删除 一 个 目录 ， 


install.log 








[root@linuxprobe ~]# rm install.log 

rm: remove regular empty file ‘install.log’? Y 
[root@linuxprobe ~]# rm -f linux.log 
[root@linuxprobe ~]# ls 

[root@linuxprobe ~]# 

6. dd 命令 


dd 命令 用 于 按照 指定 大 小 和 个 数 的 数据 块 来 复制 文件 或 转换 文件 ， 格 式 为 “dd[ 


52 


参数 ]”。 
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dd 命令 是 一 个 比较 重要 而 且 比较 有 特色 的 一 个 命令 , 它 能 够 让 用 户 按照 指定 大 小 和 个 数 
的 数据 块 来 复制 文件 的 内 容 。 当然 如 果 愿 意 的 话 , 还 可 以 在 复制 过 程 中 转换 其 中 的 数据 。 Linux 
系统 中 有 一 个 名 为 /dev/zero 的 设备 文件 ， 每 次 在 课堂 上 解释 它 时 都 充满 哲学 理论 的 色彩 。 
为 这 个 文件 不 会 占用 系统 存储 空间 ， 但 却 可 以 提供 无 穷 无 尽 的 数据 ， 因 此 可 以 使 用 它 作 为 dd 
命令 的 输入 文件 ， 来 生成 一 个 指定 大 小 的 文件 。dd 命令 的 参数 及 其 作用 如 表 2-13 所 示 。 






































表 2-13 dd 命令 的 参数 及 其 作用 
参数 作用 
if 输入 的 文件 名 称 
of 输出 的 文件 名 称 
bs 设置 每 个 “ 块 ” 的 大 小 
count 设置 要 复制 “ 块 ”的 个 数 











例如 我 们 可 以 用 dd 命令 从 /dev/zero 设备 文件 中 取出 一 个 大 小 为 560MB 的 数据 块 ， 然 后 
保存 成 名 为 560_file 的 文件 。 在 理解 了 这 个 命令 后 ， 以 后 就 能 随意 创建 任意 大 小 的 文件 了 : 











[root@linuxprobe ~]# dd if=/dev/zero of=560 file count=1 bs=560M 
1+0 records in 

1+0 records out 

587202560 bytes (587 MB) copied, 27.1755 s, 21.6 MB/s 














dd 命令 的 功能 也 绝 不 仅 限于 复制 文件 这 么 简单 。 如 果 您 想 把 光驱 设备 中 的 光盘 制作 成 iso 格 
式 的 镜像 文件 , 在 Windows 系统 中 需要 借助 于 第 三 方 软件 才能 做 到 , 但 在 Linux 系统 中 可 以 直接 
使 用 dd 命令 来 压制 出 光盘 镜像 文件 ， 将 它 编程 一 个 可 立即 使 用 的 iso 镜像 : 

[root@linuxprobe ~]# dd if=/dev/cdrom of=RHEL-server-7.0-x86 64-LinuxProbe.Com.iso 

7311360+0 records in 


7311360+0 records out 
3743416320 bytes (3.7 GB) copied, 370.758 s, 10.1 MB/s 


























考虑 到 有 些 读者 会 纠结 bs 块 大 小 与 count 块 个 数 的 关系 ， 下 面 举 一 个 吃 货 的 例子 进行 
解释 。 假 设 小 明 的 饭量 〈 即 需求 ) 是 一 个 固定 的 值 ， 用 来 盛 饭 的 勺子 的 大 小 即 bs 块 大 小 ， 
而 用 勺子 盛 饭 的 次 数 即 count 块 个 数 。 小 明 要 想 吃 饱 〈 满足 需求 ) ， 则 需要 在 勺子 大 小 (bs 
块 大 小 ) 与 用 勺子 盛 饭 的 次 数 ( count 块 个 数 ) 之 间 进 行 平衡 。 勺 子 越 大 ， 用 勺子 盛 饭 的 次 数 
就 越 少 。 有 上 可 见 ，bs 与 count 都 是 用 来 指定 容量 的 大 小 ， 只 要 能 满足 需求 ， 可 随意 组 合 搭 
配方 式 。 

7.，file 命令 


file 命令 用 于 查看 文件 的 类 型 ， 格 式 为 “file 文件 名 ”。 

在 Linux 系统 中 ， 由 于 文本 、 目 录 、 设 备 等 所 有 这 些 一 切 都 统称 为 文件 ， 而 我 们 又 不 能 
单 赁 后 级 就 知道 具体 的 文件 类 型 ， 这 时 就 需要 使 用 fle 命令 来 查看 文件 类 型 了 。 

[root@linuxprobe ~]# file anaconda-ks.cfg 


anaconda-ks.cfg: ASCII text 
[root@linuxprobe ~]# file /dev/sda 




















/dev/sda: block special 
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| 2.8 ”打包 压缩 与 搜索 命令 





在 网 络 上 ， 人 们 越 来 越 倾向 于 传输 压缩 格式 的 文件 ， 原 因 是 压缩 文件 体积 小 ， 在 网 速 相 
同 的 情况 下 ， 传 输 时 间 短 。 下 面 将 学 习 如 何在 Linux 系统 中 对 文件 进行 打包 压缩 与 解压 ， 以 
及 让 用 户 基于 关键 词 在 文本 文件 中 搜索 相 匹配 的 信息 、 在 整个 文件 系统 中 基于 指定 的 名 称 或 
属性 搜索 特定 文件 。 本 节 虽 然 只 有 3 条 命令 ， 但 是 其 功能 都 比较 复杂 而 且 参 数 很 多 ， 因 此 放 
到 了 本 章 最 后 讲解 。 


1.，tar 命令 


tar 命令 用 于 对 文件 进行 打包 压缩 或 解压 ， 格 式 为 “tar [选项 ] [文件 ]”。 

在 Linux 系统 中 , 常见 的 文件 格式 比较 多 , 其 中 主要 使 用 的 是 .tar 或 .tar.gz 或 tarbz2 格式 , 我 
们 不 用 担心 格式 太 多 而 记 不 住 ， 其 实 这 些 格 式 大 部 分 都 是 由 tar 命令 来 生成 的 。 刘 站 老师 将 讲解 
最 重要 的 几 个 参数 ， 以 方便 大 家 理解 。tar 命令 的 参数 及 其 作用 如 表 2-14 所 示 。 




































































































































































表 2-14 tar 命令 的 参数 及 其 作用 
参数 作用 
-Cc 创建 压缩 文件 
-x 解 开 压缩 文件 
-t 查看 压缩 包 内 有 哪些 文件 
-Zz 用 Gzip 压缩 或 解压 
一 用 bzip2 压缩 或 解压 
-Vv 显示 压缩 或 解压 的 过 程 
-f 目标 文件 名 
-p 保留 原始 的 权限 与 属性 
-Pp 使 用 绝对 路 径 来 压缩 
-C 指定 解压 到 的 目录 
首先 ,-c 参数 用 于 创建 压缩 文件 , -x 参数 用 于 解压 文件 , 因此 这 两 个 参数 不 能 同时 使 用 。 








其 次 ，-z 参数 指定 使 用 Gzip 格式 来 压缩 或 解压 文件 ，-j 参数 指定 使 用 bzip2 格式 来 压缩 或 解 
压 文件 。 用 户 使 用 时 则 是 根据 文件 的 后 绥 来 决定 应 使 用 何 种 格式 参数 进行 解压 。 在 执行 某 些 
压缩 或 解压 操作 时 ， 可 能 需要 花费 数 个 小 时 ， 如 果 屏 幕 一 直 没 有 输出 ， 您 一 方面 不 好 判断 打 
包 的 进度 情况 ， 另 一 方面 也 会 怀疑 电脑 死机 了 ， 因 此 非常 推荐 使 用 -v 参数 向 用 户 不 断 显示 压 
缩 或 解压 的 过 程 。-C 参数 用 于 指定 要 解压 到 哪个 指定 的 目录 。-f 参数 特别 重要 ， 它 必须 放 到 
参数 的 最 后 一 位 ， 代 表 要 压缩 或 解压 的 软件 包 名 称 。 刘 遂 老 师 一 般 使 用 “tar -czvf 压缩 包 名 
称 .tar.gz 要 打包 的 目录 ”命令 把 指定 的 文件 进行 打包 压缩 ;相应 的 解压 命令 为 “tar -xzvf 压 
缩 包 名 称 .tar.gz”。 下 面 我 们 来 逐个 演示 下 打包 压缩 与 解压 的 操作 。 先 使 用 tar 命令 把 /etc 目录 
通过 gzip 格式 进行 打包 压缩 ， 并 把 文件 命名 为 etc.tar.gz: 






























































[root@linuxprobe ~]# tar -czvf etc.tar.gz /etc 
tar: Removing leading '/' from member names 
/etc/ 
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/etc/fstab 
/etc/crypttab 
/etc/mtab 
/etc/fonts/ 


/etc/fonts/conf. 
/etc/fonts/conf. 
/etc/fonts/conf. 
/etc/fonts/conf. 
/etc/fonts/conf. 
/etc/fonts/conf. 


2.8 打包 压缩 与 搜索 命令 


Q/ 

d/65-0-madan.conf 
d/59-liberation-sans.conf 
d/90-ttf-arphic-uming-embolden.conf 
d/59-liberation-mono.conf 
d/66-sil-nuosu.conf 


We 省 略 部 分 压缩 过 程 信息 .………… 





接 下 来 将 打包 后 的 压缩 包 文 件 指定 解压 到 /rootetc 目录 中 ( 先 使 用 mkdir 命令 来 创建 


/root/etc 目录 ): 





[root@1linuxprob 
[root@1linuxprob 
etc/ 

etc/fstab 
etc/crypttab 
etc/mtab 
etc/fonts/ 
etc/fonts/conf. 
etc/fonts/conf. 
etc/fonts/conf. 
etc/fonts/conf. 
etc/fonts/conf. 
etc/fonts/conf. 
etc/fonts/conf. 
etc/fonts/conf. 
etc/fonts/conf. 


e ~]# mkdir /root/etc 
e ~]# tar xzvf etc.tar.gz -C /root/etc 


qd/ 

d/65-0-madan.conf 
d/59-liberation-sans.conf 
d/90-ttf-arphic-uming-embolden.conf 
d/59-liberation-mono.conf 
d/66-sil-nuosu.conf 
d/65-1-vlgothic-gothic.conf 
d/65-0-lohit-bengali.conf 
d/20-unhint-small-dejavu-sans.conf 


i 省 略 部 分 解压 过 程 信息 








2. grep 命令 





grep 命令 用 于 在 文本 中 执行 关键 词 搜索 ,并 显示 匹配 的 结果 ,格式 为 “grep [选项 ] [文件 ]”。 
grep 命令 的 参数 及 其 作用 如 表 2-15 所 示 。 









































表 2-15 grep 命令 的 参数 及 其 作用 
参数 作用 
-b 将 可 执行 文件 (binary ) 当 作 文本 文件 ( text ) 来 搜索 
-c 仅 显 示 找 到 的 行 光 
Su 忽略 大 小 写 
-mn 显示 行 号 
-Vv 反 向 选择 一 一 仅 列 出 没有 “关键 词 ”的 行 











grep 命令 是 用 途 最 广泛 的 文本 搜索 匹配 工具 ， 虽 然 有 很 多 参数 ， 但 是 大 多 数 基本 上 都 用 
不 到 。 刘 雍 老 师 在 总 结 了 近 10 年 的 运 维 工作 和 培训 教学 的 经 验 后 , 提出 的 本 书 的 写作 理念 “去 
掉 不 实用 ”绝对 不 是 信口开河 。 如 果 一 名 IT 培训 讲师 的 水 平 只 能 停留 在 “技术 的 搬运 工 ” 层 








面 ， 而 不 能 对 优质 技术 知识 进行 提炼 总 结 ， 那 对 他 的 学 生来 讲 绝 非 好 事 。 我 们 在 这 里 只 讲 两 
































个 最 最 常用 的 参数 : -n 参数 用 来 显示 搜索 到 信息 的 行 号 ; -v 参数 用 于 反选 信息 〈 即 没有 包含 
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关键 词 的 所 有 信息 行 ) .这 两 个 参数 几乎 能 完成 您 日 后 80% 的 工作 需要 , 至 于 其 他 上 百 个 参数 ， 
即使 以 后 在 工作 期 间 遇 到 了 ， 再 使 用 man grep 命令 查询 也 来 得 及 。 

在 Linux 系统 中 ，/etc/passwd 文件 是 保存 着 所 有 的 用 户 信息 ， 而 一 旦 用 户 的 登录 终端 被 
设置 成 /sbinmnologin ， 则 不 再 允许 登录 系统 , 因此 可 以 使 用 grep 命令 来 查找 出 当前 系统 中 不 允 
许 登 录 系 统 的 所 有 用 户 信息 : 





























[root@linuxprobe ~]# grep /sbin/nologin /etc/passwd 
bin:x:1:1:bin:/bin:/sbin/nologin 
daemon:x:2:2:daemon:/sbin:/sbin/nologin 
adm:x:3:4:adm:/var/adm:/sbin/nologin 
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin 
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin 
operator:x:11:0:operator:/root:/sbin/nologin 


pa 省 略 部 分 输出 过 程 信息 








3. find 命令 


find 命令 用 于 按照 指定 条 件 来 查找 文件 ， 格 式 为 “find [查找 路 径 ] 寻找 条 件 操作 ”。 

本 书 中 曾经 多 次 提 到 “Linux 系统 中 的 一 切 都 是 文件 ”, 接 下 来 就 要 见证 这 人 句 话 的 分 量 了 。 
在 Linux 系统 中 ， 搜 索 工作 一 般 都 是 通过 find 命令 来 完成 的 ， 它 可 以 使 用 不 同 的 文件 特性 作 
为 寻找 条 件 ( 如 文件 名 、 大 小 、 修 改 时 间 、 权 限 等 信息 ), 一 旦 匹配 成 功 则 默认 将 信息 显示 到 
屏幕 上 。find 命令 的 参数 以 及 作用 如 表 2-16 所 示 。 








































































































表 2-16 find 命令 中 的 参数 以 及 作用 
参数 作用 

-name 匹配 名 称 
-Perm 匹配 权限 (mode 为 完全 匹配 ，-mode 为 包含 即 可 ) 
-user 匹配 所 有 者 
-group 匹配 所 有 组 
-mtime -n +n 匹配 修改 内 容 的 时 间 (-n 指 n 天 以 内 ，+n 指 n 天 以 前 ) 
-atime -n +n 匹配 访问 文件 的 时 间 (-n 指 n 天 以 内 ，+n 指 n 天 以 前 ) 
-ctime -n +n 匹配 修改 文件 权限 的 时 间 (-n 指 n 天 以 内 ，+n 指 mn 天 以 前 ) 
-nouser 匹配 无 所 有 者 的 文件 
-nogroup 匹配 无 所 有 组 的 文件 
-newer fl1 !f2 匹配 比 文件 fl 新 但 比 f2 旧 的 文件 

















匹配 文件 类 型 (后面 的 字幕 参数 依次 表示 块 设备 、 目 录 、 字 符 设 备 、 管 道 、 
链接 文件 、 文 本 文件 
匹配 文件 的 大 小 (+50KB 为 查找 超过 50KB 的 文件 ， 而 -50KB 为 查找 小 于 











--type b/d/c/p/1/f 





We 
































-size 
50KB 的 文件 ) 
prune 忽 各 某 个 目录 
—exeC ee {}\; 后 面 可 跟 用 于 进一步 处 理 搜 索 结 果 的 命令 (下文 会 有 演示 ) 
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这 里 需要 重点 讲解 一 下 -exec 参数 重要 的 作用 。 这 个 参数 用 于 把 find 命令 搜索 到 的 结果 交 
由 紧 随 其 后 的 命令 作 进 一 步 处 理 , 它 十 分 类 似 于 第 3 章 将 要 讲解 的 管道 符 技术 , 并 且 由 于 find 
命令 对 参数 的 特殊 要 求 ， 因 此 虽然 exec 是 长 格式 形式 ， 但 依然 只 需要 一 个 减 号 (- )。 

根据 文件 系统 层次 标准 ( Filesystem Hierarchy Standard ) 协议 ，Linux 系统 中 的 配置 文件 
会 保存 到 /etc 目录 中 ( 详 见 第 6 章 )。 如 果 要 想 获取 到 该 目录 中 所 有 以 host 开头 的 文件 列表 ， 
可 以 执行 如 下 命令 : 

[root@linuxprobe ~]# find /etc -name "host*" ~print 

/etc/avahi/hosts 

/etc/host.conf 

/etc/hosts 

/etc/hosts.allow 


/etc/hosts.deny 
/etc/selinux/targeted/modules/active/modules/hostname .PP 



































/etc/hostname 


如 果 要 在 整个 系统 中 搜索 权限 中 包括 SUID 权限 的 所 有 文件 ( 详 见 第 5 章 )， 只 需 使 用 
-4000 即 可 : 























[root@linuxprobe ~]# find / -perm -4000 -print 
/usr/bin/fusermount 

/usr/bin/su 

/usr/bin/umount 

/usr/bin/passwd 

/usr/sbin/userhelper 

/usr/sbin/usernetctl 


ee 省 略 部 分 输出 信息 











进 阶 实验 : 在 整个 文件 系统 中 找 出 所 有 归属 于 linuxprobe 用 户 的 文件 并 复制 到 
/root/findresults 目录 。 

该 实验 的 重点 是 “-exec {}】 NS” 参数， 其 中 的 {} 表 示 find 命令 搜索 出 的 每 一 个 文 
件 ， 并 且 命 令 的 结尾 必须 是 “\;”。 完 成 该 实验 的 具体 命令 如 下 : 


[root@linuxprobe ~]# find / -user linuxprobe -exec cp -a {} /root/findresults/ \; 





在 本 章 最 后 ， 刘 站 老师 再 多 提 几 名 : 很 多 读者 初次 接触 到 本 书 时 都 担心 因为 自己 的 英语 
基础 不 好 而 导致 学 不 会 Linux 系统 ， 其 实 大 可 不 必 担 心 ， 因 为 我 们 的 图 书 、 培 训 课程 甚至 红 
帽 考题 都 是 中 文 的。 而 在 学 习 完 本 章 后 您 也 一 定 发 现 了 ， 我 们 以 后 要 使 用 的 是 Linux 命令 ， 
而 绝 不 是 纯粹 的 英语 单词 ,即便 它们 的 拼写 100% 相 同 , 最 终 用 处 肯定 也 是 不 一 样 的 。 因 此 就 
学 习 Linux 系统 技术 来 讲 ， 您 跟 英语 达 人 绝对 都 是 站 在 同一 起 跑 线 上 的 ， 更 何况 还 正确 地 选 
择 了 一 本 适合 您 的 Linux 教材 。 休 息 一 下 ， 然 后 开始 学 习 第 3 章 吧 ! 
























































| 复习 题 








1. 在 RHEL7 系 统 及 众多 的 Linux 系统 中 ， 最 常 使 用 的 Shell 终端 是 什么 ? 
答 : Bash (Bourne-Again SHell ) 解释 需 。 
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10. 


11. 
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执行 Linux 系统 命令 时 ， 添 加 参数 的 目的 是 什么 ? 
答 : 为 了 让 Linux 系统 命令 能 够 更 贴 合用 户 的 实际 需求 进行 工作 。 





Linux 系统 命令 、 命 令 参 数 及 命令 对 象 之 间 ， 普 遍 应 该 使 用 什么 来 间隔 ? 
答 : 应 该 使 用 一 个 或 多 个 空格 进行 间隔 。 














请 写 出 用 echo 命令 把 SHELL 变量 值 输出 到 屏幕 终端 的 命令 。 
答 : echo $SHELL。 





简 述 Linux 系统 中 5 种 进程 的 名 称 及 含义 。 
答 : 在 Linux 系统 中 ， 有 下 面 $ 种 进程 名 称 。 





> R (运行 ): 进程 正在 运行 或 在 运行 队列 中 等 待 。 

> S (中断 ): 进程 处 于 休眠 中 ， 当 某 个 条 件 形 成 后 或 者 接收 到 信号 时 ， 则 脱离 该 状态 。 
> 

> 





D ( 不 可 中 断 ): 进程 不 响应 系统 异步 信号 ， 即 便 用 kill 命令 也 不 能 将 其 中 断 。 
Z ( 僵 死 ): 进程 已 经 终止 , 但 进程 描述 符 依然 存在 ， 直到 父 进程 调用 wait40 系 统 函 数 
后 将 进程 释放 。 

> T (停止 ): 进程 收 到 停止 信号 后 停止 运行 。 


























请 尝试 使 用 Linux 系统 命令 关闭 PID 为 5529 的 服务 进程 。 
答 : 执行 Kill 5529 命令 即 可 ; 若 知道 服 务 的 名 称 ， 则 可 以 使 用 killall 命令 进行 关闭 。 














使 用 ifconfig 命令 查看 网 络 状 态 信息 时 ， 需 要 重点 查看 的 4 项 信息 分 别 是 什么 ? 
答 : 这 4 项 重要 信息 分 别 是 网 卡 名 称 、IP 地 址 、 网 卡 物理 地 址 以 及 RX/TX 的 收发 流量 数 
据 大 小 。 





使 用 uptime 命令 查看 系统 负载 时 ， 对 应 的 负载 数值 如 果 是 0.91、0.56、0.32， 那么 最 近 15 
分 钟 内 负载 压力 最 大 的 是 哪个 时 间 段 ? 
答 : 通过 负载 数值 可 以 看 出 ， 最 近 1 分 钟 内 的 负载 压力 是 最 大 的 。 





























使 用 history 命令 查看 历史 命令 的 执行 记录 时 ， 命 令 前 面 的 数字 除了 排序 外 还 有 什么 用 处 ? 
答 : 还 可 以 用 “! 数 字 ” 的 命令 格式 重复 执行 某 一 次 的 命令 记录 ， 从 而 避免 了 重复 输入 较 
长 命令 的 麻烦 。 





于 


若 想 查 看 的 文件 具有 较 长 的 内 容 ， 那 么 使 用 cat、more 、head 、tail 中 的 哪个 命令 最 
适 ? 


和 
口 
答 : 文件 内 容 较 长 ， 使 用 more 命令 ; 反之 使 用 cat 命令 。 




















在 使 用 mkdir 命令 创建 有 垦 套 关系 的 目录 时 ， 应 该 加 上 什么 参数 呢 ? 
答 : 应 该 加 上 -p 递归 迭代 参数 ， 从 而 自动 化 创建 有 由 套 关系 的 目录 。 





12， 在 使 用 rm 命令 删除 文件 或 目录 时 ， 可 使 用 哪个 参数 来 避免 二 次 确认 呢 ? 
答 : 可 使 用 -f 参数 ， 这 样 即 可 无 需 二 次 确认 。 





13.， 和 若 有 一 个 名 为 backup.tar.gz 的 压缩 包 文件 ， 那 么 解压 的 命令 应 该 是 什么 ? 
答 : 应 该 用 tar 命令 进行 解压 ， 执 行 tar -xzvf backup.tar.gz 命令 即 可 。 





14. 使 用 grep 命令 对 某 个 文件 进行 关键 词 搜 索 时 , 知 想 要 进行 文件 内 容 反 选 , 应 使 用 什么 


参数 ? 
答 : 可 使 用 -v 参数 来 进行 匹配 内 容 的 反 向 选择 ， 








即 显 示 出 不 包含 某 个 关键 词 的 行 。 
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第 3 章 | 


管道 待 、 重 定向 与 环境 变量 


本 章 讲解 了 如 下 内 容 : 
输入 输出 重 定向 ; 


管道 命令 符 ; 

命令 行 的 通配符 ; 
常用 的 转 义 字符 ; 
重要 的 环境 变量 。 





VV vvyvyv 





目前 为 止 ， 我 们 已 经 学 习 了 数 十 个 常用 的 Linux 系统 命令 ， 如 果 不 能 把 这 些 命 令 进 行 组 
合 使 用 ， 则 无 法 提升 工作 效率 。 本 章 首先 讲解 与 文件 读 写 操作 有 关 的 重 定向 技术 的 5 种 模式 
标准 覆盖 输出 重 定 向 、 标 准 追 加 输出 重 定 向 、 错 误 履 盖 输 出 重 定 向 、 错 误 追 加 输出 重 定 
向 以 及 输入 重 定 向 ， 让 读者 通过 实验 切实 理解 每 个 重 定向 模式 的 作用 ， 解 决 输出 信息 的 保存 
问题 。 然 后 深入 讲解 管道 命令 符 ， 帮 助 读者 掌握 命令 之 间 的 搭配 使 用 方法 ， 进 一 步 提 高 命令 
输出 值 的 处 理 效 率 。 随 后 通过 讲解 Linux 系统 命令 行 中 的 通配符 和 常见 转 义 符 ， 让 您 输入 的 
Linux 命令 具有 更 准确 的 意义 ， 为 下 一 章 学 习 编写 Shell 脚本 打 好 功底 。 最 后 ， 本 章 深度 剖析 
了 Bash 解释 器 执行 Linux 命令 的 内 部 原理 ， 为 读者 掌握 PATH 变量 及 Linux 系统 中 的 重要 环 
境 变量 打下 了 基础 。 


3.1 输入 输出 重 定向 




































































既然 我 们 已 经 在 上 一 章 学 完了 几乎 所 有 基础 且 常 用 的 Linux 命令 ， 那么 接 下 来 的 任务 就 
是 把 多 个 Linux 命令 适当 地 组 合 到 一 起 ， 使 其 协同 工作 ， 以 便 我 们 更 加 高 效 地 处 理 数 据 。 要 
故 到 这 一 点 ， 就 必须 搞 明 白 命令 的 输入 重 定向 和 输出 重 定 向 的 原理 。 

简 而 言 之 ， 输 入 重 定向 是 指 把 文件 导 和 人 到 命令 中 ， 而 输出 重 定向 则 是 指 把 原本 要 输出 到 
屏幕 的 数据 信息 写 和 人 到 指定 文件 中 。 在 日 常 的 学 习 和 工作 中 ， 相 较 于 输入 重 定向 ， 我 们 使 用 
输出 重 定向 的 频率 更 高 ， 所 以 又 将 输出 重 定向 分 为 了 标准 输出 重 定 向 和 错误 输出 重 定向 两 种 
不 同 的 技术 ， 以 及 清空 写 人 与 追加 写 人 两 种 模式 。 听 起 来 就 很 妆 妙 ? 刘 道 老师 接 下 来 将 慢 慢 
道 来 。 

> 标准 输入 重 定向 (STDIN , 文件 描述 符 为 0 ): 默认 从 键盘 输入 , 也 可 从 其 他 文件 或 命 

令 中 输入 。 
> 标准 输出 重 定向 (STDOUT， 文 件 描述 符 为 1 ): 默认 输出 到 屏幕 。 



















































































3.1 输入 输出 重 定向 








> 错误 输出 重 定 向 (STDERR， 文件 描述 符 为 2 ): 默认 输出 到 屏幕 。 
比如 我 们 分 别 查 看 两 个 文件 的 属性 信息 ， 其 中 第 二 个 文件 是 不 存在 的 ， 虽然 针对 这 两 个 
文件 的 操作 都 分 别 会 在 屏幕 上 输出 一 些 数据 信息 ， 但 这 两 个 操作 的 差异 其 实 很 大 : 











[root@linuxprobe ~]# touch linuxprobe 
[root@linuxprobe ~]# ls -1 linuxprobe 
—rWw-r--r--. 1 root root 0 Aug 5 05:35 linuxprobe 
[root@linuxprobe ~]# ls -1 xxxxxx 


ls: cannot access xxxxxx: No such file or directory 





在 上 述 命 令 中 ， 名 为 linuxprobe 的 文件 是 存在 的 ， 输 出 信息 是 该 文件 的 一 些 相 关 权 限 、 
所 有 者 、 所 属 组 、 文 件 大 小 及 修改 时 间 等 信息 , 这 也 是 该 命令 的 标准 输出 信息 。 而 名 为 XXXXxxX 
的 第 二 个 文件 是 不 存在 的 ， 因 此 在 执行 完 ls 命令 之 后 显示 的 报错 提示 信息 也 是 该 命令 的 错误 
输出 信息 。 那 么 ， 要 想 把 原本 输出 到 屏幕 上 的 数据 转 而 写 人 到 文件 当中 ， 就 要 区 别 对 待 这 两 
种 输出 信息 。 

对 于 输入 重 定向 来 讲 ， 用 到 的 符号 及 其 作用 如 表 3-1 所 示 。 



















































































































































































表 3-1 输入 重 定向 中 用 到 的 符号 及 其 作用 
符号 作用 
命令 < 文件 将 文件 作为 命令 的 标准 输入 
命令 << 分 界 符 从 标准 输入 中 读 和 信 ， 直 到 遇见 分 办 符 才 停止 
命令 < 文件 1> 文件 2 将 文件 1 作为 命令 的 标准 输入 并 将 标准 输出 到 文件 2 
对 于 输出 重 定向 来 讲 ， 用 到 的 符号 及 其 作用 如 表 3-2 所 示 。 
表 3.2 输出 重 定向 中 用 到 的 符号 及 其 作用 
符号 作用 
命令 > 文件 将 标准 输出 重 定向 到 一 个 文件 中 ( 清空 原 有 文件 的 数据 ) 
命令 2> 文件 将 错误 输出 重 定 向 到 一 个 文件 中 《清空 原 有 文件 的 数据 ) 
命令 >> 文件 将 标准 输出 重 定向 到 一 个 文件 中 ( 追加 到 原 有 内 容 的 后 面 ) 
市 人 2 议 件 将 错误 输出 重 定向 到 一 不 文件 中 ( 追加 到 原 有 内 容 的 后 面 ) 
命令 文件 2>&1 
sa a 将 标准 输出 与 错误 输出 共同 写 人 到 文件 中 ( 追加 到 原 有 内 容 的 
命令 &>> 文件 Su 








对 于 重 定向 中 的 标准 输出 模式 ， 可 以 省 略 文件 描述 符 1 不 写 ， 而 错误 输出 模式 的 文件 描述 符 2 
是 必须 要 写 的 。 我 们 先 来 小 试 牛 刀 。 通 过 标准 输出 重 定向 将 man bash 命令 原本 要 输出 到 屏幕 的 信息 
写 人 到 文件 readme.txt 中 ， 然 后 显示 readme.txt 文件 中 的 内 容 。 具 体 命令 如 下 : 


















































[root@linuxprobe ~]# man bash > readme.txt 

[root@linuxprobe ~]# cat readme.txt 

BASH (1) General Commands Manual BASH (1) 
NAME 


bash - GNU Bourne-Again SHell 


SYNOPSIS 
bash [options] [file] 
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COPYRIGHT 
Bash is Copyright (C) 1989-2011 by the Free Software Foundation, Inc. 


DESCRIPTION 

Bash is an sh-compatible command language interpreter that executes 
commands read from the standard input or from a file. Bash also incor- 
porates useful features from the Korn and C shells (ksh and csh). 


Bash is intended to be a conformant implementation of the Shell and 
Utilities portion of the IEEE POSIX specification (IEEE Standard 
1003.1). Bash can be configured to be POSIX-conformant by default. 





a 省 略 部 分 输出 信息 








两 种 不 同 模 式 带 来 的 变化 。 首 先 通 过 


有 没有 感觉 到 很 方便 呢 ? 我 们 接 下 来 尝试 输出 重 定 向 技术 中 的 覆盖 写 入 与 妃 加 写 入 这 
盖 写 入 模式 向 readme.txt 文件 写 入 一行 数据 (该 文件 
中 包含 上 一 个 实验 的 man 命令 信息 ), 然后 再 通过 追加 写 入 模式 向 文件 再 写 入 一 次 数据 ,其 






























































命令 如 下 : 





[root@linuxprobe ~]# echo "Welcome to LinuxProbe.Com" > readme.txt 


[root@linuxprobe ~]# echo "Quality linux learning materials" >> readme.txt 





在 执行 cat 命令 之 后 ， 可 以 看 到 如 下 所 示 的 文件 内 容 : 





[root@linuxprobe ~]# cat readme.txt 
Welcome to LinuxProbe.Com 
Quality linux learning materials 





因此 使 用 标准 输出 即 可 将 原本 要 输出 到 
然 把 




















虽然 都 是 输出 重 定向 技术 ,但 是 不 同 命令 的 标准 输出 和 错误 输出 还 是 有 区 别 的。 例如 查 
看 当前 日 录 中 某 个 文件 的 信息 ， linuxprobe 文件 为 例 。 因 为 这 个 文件 是 真实 存在 的 ， 
屏幕 的 信息 写 入 到 文件 中 ， 而 错误 的 输出 重 定向 则 依 











I 











信息 输出 到 了 屏幕 上 。 





[root@linuxprobe ~]# ls -1 linuxprobe 

—rw-r--r--. 1 root root 0 Mar 1 13:30 linuxprobe 
[root@linuxprobe ~]# ls -1 linuxprobe > /root/stderr.txt 
[root@linuxprobe ~]# ls -1 linuxprobe 2> /root/stderr.txt 
-rw-r--r--. 1 root root 0 Mar 1 13:30 linuxprobe 





脚本 时 ， 这 个 操作 会 特别 有 用 ， 而 且 
息 都 记录 到 文件 中 , 便于 安装 后 的 排 错 工作 。 接 下 来 我 们 以 一 











如 果 想 把 命令 的 报错 信息 写 入 到 文件 , 该 怎么 操作 呢 ? 当 用 户 在 执行 一 个 自动 化 的 Shell 
寺 别 实用 ， 因 为 它 可 以 把 整个 脚本 执行 过 程 中 的 报错 信 
个 不 存在 的 文件 进行 实验 演示 : 














root@linuxprobe ~]# ls -1 XXXXXX 

Cannot access xxxxxx: NO such file or directory 
root@linuxprobe ~]# ls -1 xxxxxx > /root/stderr.txt 
Cannot access xxxxxx: NO such file or directory 
root@linuxprobe ~]# ls -1 xxxxxx 2> /root/stderr.txt 
root@linuxprobe ~]# cat /root/stderr.txt 


ls: cannot access xxxxxx: No such file or directory 
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输入 


二 


定向 相对 来 说 有 些 冷 门 ,， 在 工作 中 遇 到 的 概率 会 小 一 点 。 输 入 重 定向 的 作用 是 把 


文件 直接 导入 到 命令 中 。 接 下 来 使 用 输入 重 定向 把 readme.txt 文件 导入 给 wc -1 命令， 统计 一 
下 文件 中 的 内 容 行 数 。 








[root@linuxprobe ~]# wc -1 < readme.txt 
2 





上 述 命 令 实 际 上 等 同 于 接 下 来 要 学 习 的 cat readme.txt | wc -1 的 管道 符 命令 组 合 。 


| 3.2 ”管道 命令 符 








细心 的 读者 肯定 还 记得 在 2.6 节 学 习 tr 命令 时 曾经 见 到 过 一 个 名 为 管道 符 的 东西 。 同 时 
按 下 键盘 上 的 Shift+\ 键 即 可 输入 管道 符 ， 其 执行 格式 为 “命令 A | 命令 B”。 命令 符 的 作用 也 
可 以 用 一 句 话 来 概括 “把 前 一 个 命令 原本 要 输出 到 屏幕 的 数据 当 作 是 后 一 个 命令 的 标准 输 
和 信 ”。 在 2.8 节 讲 解 grep 文本 搜索 命令 时 ， 我 们 通过 匹配 关键 词 /sbin/mologin 找 出 了 所 有 被 限 
制 登录 系统 的 用 户 。 在 学 完 本 节 内 容 后 ， 完 全 可 以 把 下 面 这 两 条 命令 合并 为 一 条 : 

> 找 出 被 限制 登录 用 户 的 命令 是 grep "/sbin/nologin" /etc/passwd; 

> 统计 文本 行 数 的 命令 则 是 wc -1。 

现在 要 做 的 就 是 把 搜索 命令 的 输出 值 传递 给 统计 命令 ， 即 把 原本 要 输出 到 屏幕 的 用 户 信 
息 列 表 再 交 给 wc 命令 作 进 一 步 的 加 工 , 因此 只 需要 把 管道 符 放 到 两 条 命令 之 间 即 可 , 具体 如 
下 。 这 简直 是 太 方便 了 ! 





































































































[root@linuxprobe ~]# grep "/sbin/nologin" /etc/passwd | wc 一 
33 








这 个 管道 符 就 像 一 个 法 宝 ， 我们 可 以 将 它 套用 到 其 他 不 同 的 命令 上 ， 比 如 用 翻 页 的 形 
式 查 看 /etc 目录 中 的 文件 列表 及 属性 信息 ( 这 些 内 容 默 认 会 一 股 脑 儿 地 显示 到 屏幕 上 , 根本 
看 不 清楚 ): 

















[root@linuxprobe ~]# ls -1 /etc/ | more 

total 1400 

drwxr-xr-x. 3 root root 97 Jul 10 17:26 abrt 
EWE .O60t "root 16 Jul 10 17:36 adjtime 
YW-I—-r-—s 1 Yoot .root 1518. Jun 7 2013 aliases 
-rw-r--r--. 1 root root 12288 Jul 10 09:38 aliases.db 
drwxr-xr-x. 2 root root 49 Jul 10 17:26 alsa 
drwxr-xr-x. 2 root root 4096 Jul 10 17:31 alternatives 


A NBO RE 1 rot roODE 541 Jan 28 2017 anacrontab 
nk hp ht Ot SS «6. 6 1 3 4 55 Jan 29 2017 asound.conf 
-rw-r--r--. 1 root root 1 Jan 29 2017 at.deny 
EW “2 EGOt EGOE 3 起 10. L727 8tE=8BE2 
drwxr-x---. 3 root root 41 Jul 10 17:26 audisp 
drwxr-x---. 3 root root 79 Jul 10 17:37 audit 

drWir Xr- A rot root 94 Jul 10 17:26 avahi 





在 修改 用 户 密码 时 ， 通 常 都 需要 输入 两 次 密码 以 进行 确认 ， 这 在 编写 自动 化 脚本 时 将 成 
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为 一 个 非常 致命 的 缺陷 。 通 过 把 管道 符 和 passwd 命令 的 --stdin 参数 相 结合 ， 我 们 可 以 用 一 条 
命令 来 完成 密码 重 置 操作 : 





[root@linuxprobe ~]# echo "linuxprobe" | passwd --stdin root 
Changing password for user root. 
passwd: all authentication tokens updated successfully. 
































大 家 是 不 是 觉得 管道 符 命令 有 些 相 见 恨 晚 ? 管道 符 的 玩法 还 有 很 多 ， 比 如 ， 在 发 送 电子 
邮件 时 ， 默 认 采 用 交互 式 的 方式 来 进行 ,我 们 完全 可 以 利用 一 条 结合 了 管道 符 的 命令 语句 ， 
把 编辑 好 的 内 容 与 标题 一 起 “打包 ”， 最 终 用 这 一 条 命令 实现 邮件 的 发 送 。 



































[root@linuxprobe ~]# echo "Content" | mail -s "Subject" linuxprobe 
[root@linuxprobe ~]# su - linuxprobe 

Last login: Fri Jul 10 09:44:07 CST 2017 on :0 
[linuxprobe@linuxprobe ~]$ mail 


Heirloom Mail version 12.5 7/5/10. Type ? for help. 
"/var/spool/mail/linuxprobe": 1 message 1 new 
>N 1 root Sun Aug 30 17:33 18/578 "Subject" 








如 果 读 者 是 一 名 Linux 新 手 ， 可 能 会 觉得 上 面 的 命令 组 合 已 经 十 分 复杂 了 , 但 是 有 过 
维 经 验 的 读者 又 会 感觉 如 隔 靳 抄 痒 般 不 过 瘾 , 他 们 希望 能 将 这 样 方便 的 命令 写 得 更 高 级 
些 ， 功 能 更 强大 一 些 。 比 如 通过 重 定向 技术 能 够 一 次 性 地 把 多 行 信息 打包 输入 或 输出 ， 
让 日 常 工作 更 有 效率 。 为 了 大 家 对 我 们 这 本 书 的 捧场 , 刘 递 老师 当然 要 义不容辞 地 把 技术 
拱手 奉 上 。 

下 面 这 条 自 造 的 命令 就 结合 使 用 了 mail 邮件 命令 与 输入 重 定向 的 分 界 符 , 其 目的 是 让 用 
户 一 直 输入 内 容 ， 直 到 用 户 输入 了 其 自 定义 的 分 界 符 时 ， 才 结束 输入 。 








运 


















































[root@linuxprobe ~]# mail -s "Readme" root@linuxprobe.com << over 
> I think linux is very practical 

> I hope to learn more 

> can you teach me ? 

> over 


[root@linuxprobe ~]# 








当然 ， 大 家 千 万 不 要 误 以 为 管道 命令 符 只 能 在 一 个 命令 组 合 中 使 用 一 次 ， 我 们 完全 可 以 
这 样 使 用 :“ 命 令 A | 命令 B| 命令 C”。 为 了 帮助 读者 进一步 理解 管道 符 的 作用 , 刘 造 老师 在 
讲课 时 经 常会 把 管道 符 描述 成 “任意 门 ”。 想必 大 家 小 时 候 都 看 过 “ 哆 啦 A 梦 ” 动 画 片 吧 。 哆 
啦 A 梦 (也 就 是 我 们 常 称 的 机 絮 猫 ) 经 常 为 了 取悦 大 雄 而 从 口袋 中 掏 出 一 件 件 宝贝 ， 其 中 好 
多 次 就 用 到 了 任意 门 这 个 道具 。 其 实 ， 管 道 符 就 好 像 是 用 于 实现 数据 穿越 的 任意 门 ， 可 以 帮 
我 们 提高 工作 效率 ， 完 成 之 前 不 敢 想 象 的 复杂 工作 。 

































































3.3 ”命令 行 的 通配符 





大 家 可 能 都 遇 到 过 提 笔 忘 字 的 尴 粹 ， 作 为 Linux 运 维 人 员 ， 我 们 有 时 候 也 会 遇 到 明明 一 
个 文件 的 名 称 就 在 嘴 边 但 就 是 想 不 起 来 的 情况 。 如 果 就 记得 一 个 文件 的 开头 几 个 字母 ， 想 遍 
历 查 找 出 所 有 以 这 个 关键 词 开 头 的 文件 ， 该 怎么 操作 呢 ? 又 比如 ， 假 设想 要 批量 查看 所 有 硬 
盘 文件 的 相关 权限 属性 ， 一 种 方式 是 这 样 的 : 
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root@linuxprobe ~]# ls 
brw-rw---—-. 1 root disk 
root@linuxprobe ~]# ls 
brw-rw----—-. 1 root disk 
root@linuxprobe ~]# ls 
brw-rw---—-. 1 root disk 
root@linuxprobe ~]# ls 





ls: cannot access /dev/sda3: 


-1 /dev/sda 
8, 0 May 4 15 
-1 /dev/sdal 
8, 1 May 4 15 
-1 /dev/sda2 
8, 2 May 4 15 
-1 /dev/sda3 


:55 /dev/sda 


:55 /dev/sdal 


:55 /dev/sda2 


No such file or directory 





hl 


笠 亏 我 的 硬盘 文件 和 分 区 只 有 3 个 ， 要 是 有 儿 百 个 ,估计 需要 花费 一 天 的 时 间 来 忙 这 个 








友情 了 。 




















此 可 见 ， 这 种 方式 的 效率 确实 很 低 。 虽 然 我 们 在 第 6 章 才 会 讲解 Linux 系统 的 存 




















储 结构 和 FHS, 但 现在 我 们 应 该 能 看 出 一 些 简单 规律 了 。 比 如 , 这 些 硬 盘 设 备 文件 都 是 以 sda 
开头 并 且 存 放 到 了 /dev 目录 中 , 这 样 一 来 , 即使 我 们 不 知道 硬盘 的 分 区 编号 和 具体 分 区 的 个 数 ， 
也 可 以 使 用 通配符 来 搞定 。 顾 名 思 义 ,通配符 就 是 通用 的 匹配 信息 的 符号 ， 比 如 星 号 (* ) 代 
表 匹 配 零 个 或 多 个 字符 , 问号 (? ) 代表 匹配 单个 字符 ,中 括号 内 加 上 数字 [0-9] 代 表 匹 配 0 一 9 
之 间 的 单个 数字 的 字符 ， 而 中 括号 内 加 上 字母 [abc] 则 是 代表 匹配 a、b、c 三 个 字符 中 的 任意 
一 个 字符 。 俗 话 讲 “ 百 闻 不 如 一 见 ， 看书 不 如 实验 ”， 下 面 我 们 就 来 匹配 所 有 在 /dev 目录 中 上 且 



























































以 sda 开头 的 文件 : 
[root@linuxprobe ~]# ls 
brw-rw---—-. 1 root disk 
brw-rw---—-. 1 root disk 
brw-rw---—-. 1 root disk 


-1 /dev/sda* 
8, 0 May 4 15 
8, 1 May 4 15 
8, 2 May 4 15 


:55 /dev/sda 
:55 /dev/sdal 
:55 /dev/sda2 








如 果 只 想 查 看 文件 名 为 sda 开头 ， 但 是 后 面 还 紧 跟 其 他 某 一 个 字符 的 文件 的 相关 信息 ， 
该 怎么 操作 呢 ? 这 时 就 需要 用 到 问号 来 进行 通 配 了 。 











[root@linuxprobe ~]# ls 
brw-rw---—-. 1 root disk 
brw-rw---—-. 1 root disk 


-1 /dev/sda? 


8, 1 May 4 15:55 /dev/sdal 
8, 2 May 4 15:55 /dev/sda2 





数字 中 的 一 个 ,车 没有 匹 


除了 使 用 [0-9] 来 匹配 0~9 之 间 的 单个 数字 ， 也 可 以 用 [135] 这 样 的 方式 仅 匹配 这 三 个 指定 


配 到 ， 则 不 会 显示 出 来 : 





[root@linuxprobe ~]# ls 
brw-rw---—-. 1 root disk 
brw-rw---—-. 1 root disk 





[root@linuxprobe ~]# ls 
brw-rw---—-. 1 root disk 


-1 /dev/sda[0-9] 
8, 1 May 4 15:55 /dev/sdal 
8, 2 May 4 15:55 /dev/sda2 
-1 /dev/sda[135] 
8, 1 May 4 15:55 /dev/sdal 





| 3.4 ”常用 的 转 义 


Dm ZA 


字符 





的 特殊 数据 。 刘 诅 老 





为 了 能 够 更 好 地 理解 用 户 的 表达 ,Shell 解释 器 还 提供 了 特别 丰富 的 转 义 字符 来 处 理 输 入 











的 越 厚 ， 作 者 越 是 大 牛 ， 现 在 发 现 这 种 观念 完 
刘 递 老师 的 用 心 付 出 。 




















师 以 近 十 年 的 工作 和 培训 为 基础 ， 惕 是 用 了 两 周 时 间 从 数 十 个 转 义 字符 


中 提炼 出 了 4 个 最 常用 的 转 义 字符 ! 这 件 事情 也 让 我 深刻 反省 了 很 长 时 间 。 原 本 认为 图 书写 








全 是 错误 的 ,希望 读者 在 读 完 本 书后 能 体会 到 
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4 个 最 常用 的 转 义 字符 如 下 所 示 。 

> 反 斜 本 (\): 使 反 斜 杠 后 面 的 一 个 变量 变 为 单纯 的 字符 是 
> 单 引号 ("): 转 义 其 中 所 有 的 变量 为 单纯 的 字符 串 。 

> 双 引 号 ("" ): 保留 其 中 的 变量 属性 ， 不 进行 转 义 处 理 。 
> 反 引 号 ( ”~): 把 其 中 的 命令 执行 后 返回 结果 。 
我 们 先 定 义 一 个 名 为 PRICE 的 变量 并 赋值 为 5， 然 后 输出 以 双 引 号 括 起 来 的 字符 串 与 变 


量 信息 2 








Ud 
O 
































[root@linuxprobe ~]# PRICE=5 
[root@linuxprobe ~]# echo "Price is S$PRICE" 
Price is 5 


接 下 来 ,我们 希望 能 够 输出 “Price is $5”， 即 价格 是 5 美元 的 字符 串 内 容 ， 但 碰巧 美元 
符号 与 变量 提取 符号 合并 后 的 $$ 作用 是 显示 当前 程序 的 进程 ID 号 码 , 于 是 命令 执行 后 输出 的 
内 容 并 不 是 我 们 所 预期 的 : 


[root@linuxprobe ~]# echo "Price is $$PRICE" 
Price is 3767PRICE 


要 想 让 第 一 个 “$” 乖 乖 地 作为 美元 符号 ， 那 么 就 需要 使 用 反 斜 杠 〈\ ) 来 进行 转 义 ,将 
这 个 命令 提取 符 转 义 成 单纯 的 文本 ， 去 除 其 特殊 功能 。 


[root@linuxprobe ~]# echo "Price is \$$PRICE" 
Price is $5 


而 如 果 只 需要 某 个 命令 的 输出 值 时 ， 可 以 像 ` 命 令 ` 这 样 ， 将 命令 用 反 引 号 括 起 来 ， 达 到 
预期 的 效果 。 例 如 ， 将 反 引 号 与 uname -a 命令 结合 ， 然 后 使 用 echo 命令 来 查看 本 机 的 Linux 
版 本 和 内 核 信 息 : 

[root@linuxprobe ~]# echo ‘uname -a. 


Linux linuxprobe.com 3.10.0-123.e17.x86 64 #1 SMP Mon May 5 11:16:57 EDT 2017 
X86 64 x86 64 x86 64 GNU/Linux 
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变量 是 计算 机 系统 用 于 保存 可 变 值 的 数据 类 型 。 在 Linux 系统 中 ， 变 量 名 称 一 般 都 是 大 
写 的 ,这 是 一 种 约定 俗 成 的 规范 。 我 们 可 以 直接 通过 变量 名 称 来 提取 到 对 应 的 变量 值 。Linux 
系统 中 的 环境 变量 是 用 来 定义 系统 运行 环境 的 一 些 参 数 ， 比 如 每 个 用 户 不 同 的 家 目录 、 邮 件 
存放 位 置 等 。 

细心 的 读者 应 该 发 现 了 , 本 节 和 上 一 方 的 标题 名 都 分 别 加 了 形容 词 一 一 重要 的 、 常 见 的 。 
原因 其 实 不 言 而 喻 一 一 要 想 让 Linux 系统 能 够 正常 运行 并 且 为 用 户 提供 服务 ， 需 要 数 百 个 环 
境 变量 来 协同 工作 ， 我 们 没有 必要 逐一 查看 、 学 习 每 一 个 变量 ， 而 是 应 该 在 有 限 的 篇 幅 中 精 
讲 最 重要 的 内 容 。 

为 了 通过 环境 变量 帮助 Linux 系统 构建 起 能 够 为 用 户 提供 服务 的 工作 运行 环境 ， 需 要 数 
百 个 变量 协同 工作 才能 完成 。 您 当然 没有 必要 去 把 每 一 个 变量 都 看 一 过 ， 而 应 该 在 最 宝贵 的 
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书籍 中 为 读者 精 讲 最 重要 的 内 容 。 为 了 更 好 地 帮助 大 家 理解 变量 的 作用 ， 刘 遂 老 师 给 大 家 举 
个 例子 。 前 文中 曾经 讲 到 , 在 Linux 系统 中 一 切 都 是 文件 ，Linux 命令 也 不 例外 。 那 么 , 在 用 
户 执行 了 一 条 命令 之 后 , Linux 系统 中 到 底 发 生 了 什么 事情 呢 ? 简单 来 说 ,命令 在 Linux 中 的 
执行 分 为 4 个 步骤 。 

第 1 步 : 判断 用 户 是 否 以 绝对 路 径 或 相对 路 径 的 方式 输入 命令 (如 /birls )， 如 果 是 的 话 
则 直接 执行 。 

第 2 步 : Linux 系统 检查 用 户 输入 的 命令 是 否 为 “别名 命令 ”， 即 用 一 个 自 定义 的 命令 
名 称 来 在 换 原 本 的 命令 名 称 。 可 以 用 alias 命令 来 创建 一 个 属于 自己 的 命令 别名 ,格式 为 
“alias 别名 = 命令 ”。 若 要 取消 一 个 命令 别名 , 则 是 用 unalias 命令 , 格式 为 “unalias 别名 ”。 
我 们 之 前 在 使 用 rm 命令 删除 文件 时 ，Linux 系统 都 会 要 求 我 们 再 确认 是 否 执行 删除 操作 ， 
其 实 这 就 是 Linux 系统 为 了 防止 用 户 误 删除 文件 而 特意 设置 的 rm 别名 命令 ， 接 下 来 我 们 
把 它 取消 掉 : 



























































root@linuxprobe ~]# ls 

anaconda-ks.cfg Documents initial-setup-ks.cfg Pictures Templates 
Desktop Downloads Music Public Videos 

root@linuxprobe ~]# rm anaconda-ks.cfg 

rm: remove regular file ‘anaconda-ks.cfg’? y 

root@linuxprobe~]# alias rm 


alias rm="'rm -i" 





root@linuxprobe ~]# unalias rm 
root@linuxprobe ~]# rm initial-setup-ks.cfg 
root@linuxprobe ~]# 





第 3 步 : Bash 解释 器 判断 用 户 输入 的 是 内 部 命令 还 是 外 部 命令 。 内 部 命令 是 解释 器 内 部 
的 指令 ， 会 被 直接 执行 ， 而 用 户 在 绝 大 部 分 时 间 输 入 的 是 外 部 命令 ， 这 些 命令 交 由 步骤 4 继 
续 处 理 。 可 以 使 用 “type 命令 名 称 ” 来 判断 用 户 输入 的 命令 是 内 部 命令 还 是 外 部 命令 。 

第 4 步 : 系统 在 多 个 路 径 中 查找 用 户 输 入 的 命令 文件 ， 而 定义 这 些 路 径 的 变量 叫 作 PATH ,可 
以 简单 地 把 它 理解 成 是 “解释 器 的 小 助手 ” ， 作 用 是 告诉 Bash 解释 器 竺 执行 的 命令 可 能 存放 
的 位 置 ， 然 后 Bash 解释 器 就 会 乖乖 地 在 这 些 位 置 中 逐个 查找 。PATH 是 由 多 个 路 径 值 组 成 的 
变量 ， 每 个 路 径 值 之 间 用 冒号 间隔 ， 对 这 些 路 径 的 增加 和 删除 操作 将 影响 到 Bash 解释 器 对 
Linux 命令 的 查找 。 













































































[root@linuxprobe ~]# echo S$PATH 
/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin 
[root@linuxprobe ~]# PATH=$PATH:/root/bin 
/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin:/sbin:/root/bin 























这 里 有 比较 经 典 的 问题 “为 什么 不 能 将 当前 目录 (. ) 添加 到 PATH 中 呢 ? ” 原因 是 ， 
尽管 可 以 将 当前 目录 (. ) 添加 到 PATH 变量 中 ， 从 而 在 某 些 情况 下 可 以 让 用 户 免 去 输入 命令 
所 在 路 径 的 麻烦 。 但 是 , 如 果 黑 客 在 比较 常用 的 公共 目录 /tmp 中 存放 了 一 个 与 1s 或 cd 命令 同 
名 的 木马 文件 ， 而 用 户 又 恰巧 在 公共 目录 中 执行 了 这 些 命令 ,那么 就 极 有 可 能 中 招 了 。 

所 以 ,作为 一 名 态度 谨 层 、 有 经 验 的 运 维 人 员 ， 在 接手 了 一 台 Linux 系统 后 一 定 会 在 执 
行 命令 前 先 检查 PATH 变量 中 是 否 有 可 疑 的 目录 ， 男 外 读者 从 前 面 的 PATH 变量 示例 中 是 否 
也 感觉 到 环境 变量 特别 有 用 呢 。 我 们 可 以 使 用 env 命令 来 查看 到 Linux 系统 中 所 有 的 环境 变 
量 ， 而 刘 雍 老 师 为 您 精 挑 细 选 出 了 最 重要 的 10 个 环境 变量 ， 如 表 3-3 所 示 。 
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表 3-3 Linux 系统 中 最 重要 的 10 个 环境 变量 
变量 名 称 作用 
HOME 用 户 的 主 目录 ( 即 家 目录 ) 
SHELI 用 户 在 使 用 的 Shell 解释 器 名 称 
HISTSIZE 输出 的 历史 命令 记录 条 数 








保存 的 历史 命令 记录 条 数 












































MAIL, 邮件 保存 路 径 

LANG 系统 语言 、 语 系 名 称 

RANDOM 生成 一 个 随机 数字 

PS1 Bash 解释 器 的 提示 符 

PATH 定义 解释 器 搜索 用 户 执行 命令 的 路 径 
EDITOR 用 户 默认 的 文本 编辑 器 


Linux 作为 一 个 多 用 户 多 任务 的 操作 系统 ， 


一 个 相同 的 变量 会 





行 环境 ， 因此 ， 




















能 够 为 每 个 用 户 提 供 独 立 的 、 
因为 用 户 身 份 的 不 同 而 具有 不 同 的 值 。 例 如 ， 我 们 使 用 下 


合适 的 工作 运 





述 命令 来 查看 HOME 变量 在 不 同 用 户 身 份 下 都 有 哪些 值 (su 是 用 于 切换 用 户 身份 的 命令 , 将 





在 第 $ 章 跟 大 家 见面 ): 











[root@linuxprobe ~]# echo $HOME 


/root 


[root@linuxprobe ~]# su - linuxprobe 


Last login: 


[linuxprobe@linuxprobe ~] 


/home/linuxprobe 


Fri Feb 27 19:49:57 CST 2017 on pts/0 


$ echo $HOME 














其 实 变量 是 























固定 的 变量 名 与 用 户 或 系统 设置 的 变量 值 两 部 分 组 成 的 ， 我 们 完全 可 以 自 




















行 创建 变量 ， 来 满足 工作 需求 。 例 如 设置 一 个 名 称 为 WORKDIR 的 变量 , 方便 用 户 更 轻松 地 
进入 一 个 层次 较 深 的 目录 : 

[root@linuxprobe ~]# mkdir /home/workdir 

[root@linuxprobe ~]# WORKDIR=/home/workdir 

[root@linuxprobe ~]# cd S$WORKDIR 

[root@linuxprobe workdir]# pwd 

/home/workdir 

但 是 ， 这 样 的 变量 不 具有 全 局 性 ， 作 用 范围 也 有 限 ， 扶 认 情 况 下 不 能 被 其 他 用 户 使 用 。 
如 果 工 作 需 要 , 可 以 使 用 export 命令 将 其 提升 为 全 局 变量 , 这 样 其 他 用 户 也 就 可 以 使 用 它 了 : 

















root@linuxprobe workdir 
Last login: 
linuxprobe@linuxprobe ~ 
linuxprobe@linuxprobe ~ 
linuxprobe@linuxprobe ~ 


root@linuxprobe workdir 
Last login: 
linuxprobe@linuxprobe ~ 





/home/workdir 





# su linuxprobe 


Fri Mar 20 20:52:10 CST 2017 on pts/0 


$ cd S$WORKDIR 
$ echo SNWORKDIR 
$ exit 


root@linuxprobe ~]# export WORKDIR 


# su linuxprobe 


Fri Mar 20 21:52:10 CST 2017 on pts/0 


$ cd SNWORKDIR 


linuxprobe@linuxprobe workdir]s$pwd 
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| 复习 题 





1 . 





























把 ls 命令 的 正常 输出 信息 追加 写 人 到 error.txt 文件 中 的 命令 是 什么 ? 
答 : 1s >> error.txt 











单 概 述 管道 符 的 作用 。 
答 : 把 左面 (前面) 命令 的 输出 值 作为 右面 (后面 ) 命令 的 输入 值 以 便 进 一 步 处 理 信 














.Bash 解释 器 的 通配符 中 ， 星 号 (* ) 代表 几 个 字符 ? 

















答 : 零 个 或 多 个 。 





. PATH 变量 的 作用 是 什么 ? 





答 : 设 定 解释 器 搜索 所 执行 的 命令 的 路 径 。 





.使 用 什么 命令 可 以 把 名 为 LINUX 的 一 般 变 量 转换 成 全 局 变量 ? 


答 : export LINUX。 


自 


心 \ oO 
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第 4 章 | 


Vim 编辑 器 与 Shell 命令 脚本 


本 章 讲解 了 如 下 内 容 : 


Vim 文本 编辑 器 ; 
编写 Shell 脚本 ; 
流程 控制 语句 ; 


计划 任务 服务 程序 。 


VV vyvyv 




















本 介 首 先 讲解 如 何 使 用 Vim 编辑 咒 来 编写 、 修 改 文档 ， 然 后 通过 逐个 配置 主机 名 称 、 系 
统 网 卡 以 及 Yum 软件 仓库 参数 文件 等 实验 ， 帮 助 读 者 加 深 Vim 编辑 器 中 请 多 命令 、 快 捷 键 、 
模式 切换 方法 的 理解 。 然 后 把 前 面 章节 中 讲解 的 Linux 命令 、 命 令 语 法 与 Shell 脚本 中 的 各 种 
流程 控制 语句 通过 Vim 编辑 器 写 到 Shell 脚本 中 结合 到 一 起 ， 实 现 最 终 能 够 自动 化 工作 的 脚 
本 文件 。 本 章 最 后 演示 了 怎样 通过 at 命令 与 crond 计划 任务 服务 来 分 别 实现 一 次 性 的 系统 任 
务 设置 和 长 期 性 的 系统 任务 设置 ， 从 而 让 日 常 的 工作 更 加 高 效 ， 更 自动 化 。 


4.1 Vim 文本 编辑 吕 
































































































































缉 





























每 当 在 讲课 时 遇 到 需要 让 学 生 记 住 的 知识 点 时 , 为 了 能 让 他 们 打 起 精神 来 , 我 都 会 突 
然 提 高 嗓门 ， 因 此 有 句 话 他 们 记得 尤其 深刻 :“ 在 Linux 系统 中 一 切 都 是 文件 ， 而 配置 一 
个 服务 就 是 在 修改 其 配置 文件 的 参数 ”。 而 且 在 日 常 工 作 中 大 家 也 肯定 免不了 要 编写 文档 ， 
这 些 工 作 都 是 通过 文本 编辑 需 来 完成 的 。 刘 邀 老师 写作 本 书 的 目的 是 让 读者 切实 掌握 
Linux 系统 的 运 维 方法 ， 而 不 是 仅仅 停留 在 “会 用 茶 个 操作 系统 ”的 层面 上 ， 所 以 我 们 这 
里 选择 使 用 Vim 文本 编辑 器 , 它 默 认 会 安装 在 当前 所 有 的 Linux 操作 系统 上 , 是 一 款 超 棒 
的 文本 编辑 器 。 

Vim 之 所 以 能 得 到 广大 厂商 与 用 户 的 认可 ， 原 因 在 于 Vim 编辑 器 中 设置 了 三 种 模式 一 一 命令 
模式 、 末 行 模式 和 编辑 模式 ， 每 种 模式 分 别 又 支持 多 种 不 同 的 命令 快捷 键 ， 这 大 大 提高 了 工 
作 效 率 ， 而 且 用 户 在 习惯 之 后 也 会 觉得 相当 顺手 。 要 想 高 效率 地 操作 文本 ， 就 必须 先 搞 清 这 
三 种 模式 的 操作 区 别 以 及 模式 之 间 的 切换 方法 ( 见 图 4-1 )。 

> 命令 模式 : 控制 光标 移动 ， 可 对 文本 进行 复制 、 粘 贴 、 删 除 和 查找 等 工作 。 

> 输入 模式 : 正常 的 文本 录入 。 

> 末 行 模式 : 保存 或 退出 文档 ， 以 及 设置 编辑 环境 。 
































































































































4.1 Vim 文本 编辑 器 











图 4-1 Vim 编辑 器 模式 的 切换 方法 
在 每 次 运行 Vim 编辑 器 时 ， 默 认 进 入 命令 模式 ， 此 时 需要 先 切换 到 输入 模式 后 再 进行 广 








档 编写 工作 ， 而 每 次 在 编写 完 文档 后 需要 先 返 回 命令 模式 ， 然 后 再 进入 末 行 模式 ， 执 行文 档 
的 保存 或 退出 操作 。 在 Vim 中 ,无 法 直接 从 输入 模式 切换 到 末 行 模式 。Vim 编辑 器 中 内 置 的 
命令 有 成 百 上 千 种 用 法 ， 为 了 能 够 帮助 读者 更 快 地 掌握 Vim 编辑 器 ， 表 4-1 总 结 了 在 命令 模 
式 中 最 常用 的 一 些 命令 。 













































































表 4-1 Vim 中 常用 的 命令 
命令 作用 

dd 删除 ( 剪 切 ) 光标 所 在 整 行 
5dd 删除 〈 剪 切 ) 从 光标 处 开始 的 5 行 
YY 复制 光标 所 在 整 行 
5yy 复制 从 光标 处 开始 的 5 行 
n 显示 搜索 命令 定位 到 的 下 一 个 字符 串 
N 显示 搜索 命令 定位 到 的 上 一 个 字符 串 
撤销 上 一 步 的 操作 
P 将 之 前 删除 (dd ) 或 复制 (yy ) 过 的 数据 粘贴 到 光标 后 面 























末 行 模式 主要 用 于 保存 或 退出 文件 ， 以 及 设置 Vim 编辑 器 的 工作 环境 ， 还 可 以 让 用 户 执 
行 外 部 的 Linux 命令 或 跳 转 到 所 编写 文档 的 特定 行 数 。 要 想 切换 到 未 行 模式 ， 在 命令 模式 中 
输入 一 个 冒号 就 可 以 了 。 末 行 模式 中 可 用 的 命令 如 表 4-2 所 示 。 
















































































表 4-2 末 行 模式 中 可 用 的 命令 

命令 作用 

:Ww 保存 

:过 退出 

:ql! 强制 退出 ( 放弃 对 文档 的 修改 内 容 ) 

:wdl 强制 保存 退出 

Set nu 显示 行 号 

:set nonu 不 显示 行 号 

:命令 执行 该 命令 

:整数 跳 转 到 该 行 
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续 表 
命令 作用 
:s/one/two 将 当前 光标 所 在 行 的 第 一 个 one 替换 成 two 
:s/one/two/g 将 当前 光标 所 在 行 的 所 有 one 替换 成 two 
:$s/one/two/g 将 全 文中 的 所 有 one 替换 成 two 
?字符 串 在 文本 中 从 下 至 上 搜索 该 字符 串 
/字符 串 在 文本 中 从 上 至 下 搜索 该 字符 串 











4.1.1 编写 简单 文档 


目前 为 止 ， 大 家 已 经 具备 了 在 Linux 系统 中 编写 文档 的 理论 基础 了 ， 接 下 来 我 们 一 起 动 





手 编写 一 个 简单 的 脚本 文档 。 刘 递 老 师 会 尽力 把 所 有 操作 步骤 和 按键 过 程 都 标注 出 来 ， 如 

















忘记 了 某 些 快捷 键 命令 的 作 上 月 








日 ， 可 以 再 返回 前 文 进行 复习 。 











E 
信 








编写 脚本 文档 的 第 1 步 就 是 给 文档 取 个 名 字 ， 这 里 将 其 命名 为 practice.txt。 如 果 存 着 该 
文档 ， 则 是 打开 它 。 如 果 不 存 在 ， 则 是 创建 一 个 临时 的 输入 文件 ， 如 图 4-2 所 示 。 












































File Edit View Search 
[root@linuxprobe Desk 





root@linuxprobe:~/Desktop 


Terminal Help 
top]# vim practice.txt 








打开 practice.txt 文档 后 ， 


图 4-2 尝试 编写 脚本 文档 











的 命令 ， 而 不 能 随意 输入 文本 内 容 ， 我 们 需要 切换 到 输入 模式 才 可 以 编写 文档 。 


在 图 4-1 中 提 到 ， 可 以 分 别 使 用 a、i、o 三 个 键 从 命令 模式 切换 到 输入 模式 。 其 中 ，a 键 











默认 进入 的 是 Vim 编辑 器 的 命令 模式 。 此 时 只 能 执行 该 模式 下 





与 i 键 分 别 是 在 光标 后 面 一 位 和 光标 当前 位 置 切换 到 输入 模式 ， 而 o 键 则 是 在 光标 的 下 面 再 














创建 一 个 空 行 ， 此 时 可 台 击 a 键 进入 到 编辑 器 的 输入 模式 ， 如 图 4-3 所 示 。 

















进入 输入 模式 后 ， 可 以 随意 输入 文本 内 容 ，Vim 编辑 器 不 会 把 您 输入 的 文本 内 容 当 作 命 





今 而 执行 ， 如 图 4-4 所 示 。 
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4.1 Vim 文本 编辑 器 





root@linuxprobe:~/Desktop -~_| 日 


File Edit View Search Terminal Help 


-- _ INSERT -- 0,1 ALL 


图 4-3 切换 至 编辑 器 的 输入 模式 








root@linuxprobe:~/Desktop -| 口 


File Edit View Search Terminal Help 
You can write in it .四 


-- _ INSERT -- 1 ALL 


图 4-4 在 编辑 器 中 输入 文本 内 容 











root@linuxprobe:~/Desktop -| 口 


File Edit View Search Terminal Help 
You can write in it. 








图 4-5 ”Vim 编辑 器 的 命令 模式 
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在 编写 完 之 后 ， 想 要 保存 并 退出 ， 必 须 先 敲 击 键盘 Esc 键 从 输入 模式 返回 命令 模式 ， 如 
图 4-5 所 示 。 然 后 再 输入 :wq! 切 换 到 末 行 模式 才能 完成 保存 退出 操作 ， 如 图 4-6 所 示 。 



































root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
You can write in it. 











图 4-6 ”Vim 编辑 器 的 末 行 模式 


当 在 未 行 模式 中 输入 :wq! 命 令 时 , 就 意味 着 强制 保存 并 退出 文档 。 然 后 便 可 以 用 cat 命令 
查看 保存 后 的 文档 内 容 了 ， 如 图 4-7 所 示 。 











root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
[root@linuxprobe Desktop]# vim practice.txt 
[root@linuxprobe Desktop]# cat practice .txt 
You can write in it. 

[root@linuxprobe Desktop]# 











图 4-7 查看 文档 的 内 容 





是 不 是 很 简单 ? ! 继续 编辑 这 个 文档 。 因 为 要 在 原 有 文本 内 容 的 下 面 追加 内 容 ， 所 以 在 
命令 模式 中 敲 击 o 键 进入 输入 模式 更 会 高 效 ， 操 作 如 网 4-8、 图 4-9 与 图 4-10 所 示 。 


4.1 





root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 


[root@linuxprobe Desktop]# Vim practice.txt 
[root@linuxprobe Desktop]# cat practice .txt 
You can write in it. 

[root@linuxprobe Desktop]# vim practice.txt 


Vim 文本 编辑 器 




















图 4-8 再 次 通过 Vim 编辑 器 编写 文档 




















root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
You can write in it. 














-- INSERT -- 2,1 ALL 
» 5 日 RR He 
图 4-9 进入 Vim 编辑 器 的 输入 模式 
root@linuxprobe:~/Desktop 口 
File Edit View Search Terminal Help 
You can write in it. 
This Sentenc 目 don't need to save 
2713 ALL 











图 4-10 追加 写 入 一 行文 本 内 容 
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因为 此 时 已 经 修改 了 文本 内 容 , 所 以 Vim 编辑 器 在 我 们 尝试 直接 退出 文档 而 不 保存 的 时 


候 就 会 拒绝 我 们 的 操作 了 。 此 时 只 
和 图 4-13 所 示 。 





能 强制 退出 才 可 以 结束 本 次 输入 操作 ， 如 图 4-11、 图 4-12 





You can write in it. 


File Edit View Search Terminal Help 


This Sentence don't need to save 


root@linuxprobe:~/Desktop 





图 4-11 尝试 退出 文本 编辑 器 











File Edit View Search Terminal Help 
You can write in it. 
This Sentence don't need to save 


E37: No write since Last change (add ! to override) Pak: 


root@linuxprobe:~/Desktop 





ALL 








图 4-12 

















所 示 。 


因 文 件 已 被 修改 而 拒绝 退出 操作 


现在 大 家 也 算是 具有 了 一 些 Vim 编辑 器 的 实战 经 验 了 , 应 该 也 感觉 没有 想象 中 那么 
难 吧 。 现 在 查看 文本 的 内 容 ， 果 然 发 现 追加 输入 的 内 容 并 没有 被 保存 下 来 ， 如 图 4-14 























大 家 在 学 完了 理论 知识 之 后 又 自己 动手 编写 了 一 个 文本 , 现在 是 否 感觉 成 就 满 满 呢 ? 
接 下 来 将 会 由 浅 入 深 为 读者 安排 三 个 小 任务 。 为 了 彻底 掌握 Vim 编辑 器 的 使 用 , 大 家 一 定 





要 逐个 完成 不 许 偷懒 ,如 果 在 完成 这 
习 掌握 。 
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文 三 个 任务 期 间 忘 记 了 相关 命令 , 可 返回 前 文 进一步 复 


4.1 Vim 文本 编辑 器 





root@Linuxprobe:"/Desktop 


File Edit View Search Terminal Help 


You can write in it. 
This Sentence don't need to save 








图 4-13 ”强制 退出 文本 编辑 器 








root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
[root@linuxprobe Desktop]# Vim practice .txt 
[root@linuxprobe Desktop]# cat practice .txt 
You can write in it . 

[root@linuxprobe Desktop]# vim practice .txt 
[root@linuxprobe Desktop]# cat practice.txt 
You can write in it. 

[rootQ@Linuxprobe Desktop]# | | 











图 4-14 ”查看 最 终 编 写成 的 文本 内 容 


4.1.2 配置 主机 名 称 


为 了 便于 在 局 域 网 中 查找 某 台 特定 的 主机 ， 或 者 对 主机 进行 区 分 ， 除 了 要 有 卫 地 址 外 ， 
还 要 为 主机 配置 一 个 主机 名 , 主机 之 间 可 以 通过 这 个 类 似 于 域名 的 名 称 来 相互 访问 。 在 Linux 
系统 中 ， 主 机 名 大 多 保存 在 /etc/hostname 文件 中 ， 接 下 来 将 /etc/hostname 文件 的 内 容 修改 为 
“linuxprobe.com”， 步 又 如 下 。 

第 1 步 : 使 用 Vim 编辑 器 修改 “/etc/hostname” 主 机 名 称 文件 。 

第 2 步 : 把 原始 主机 名 称 删除 后 追加 “linuxprobe.com”。 注 意 ， 使 用 Vim 编辑 器 修改 主 
机 名 称 文件 后 ， 要 在 末 行 模式 下 执行 :wq! 命 令 才能 保存 并 退出 文档 。 

第 3 步 : 保存 并 退出 文档 ， 然 后 使 用 hostname 命令 检查 是 否 修 改 成 功 。 























[root@linuxprobe ~]# vim /etc/hostname 


linuxprobe.com 
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hostname 命令 用 于 查看 当前 的 主机 名 称 ,但 有 时 主机 名 称 的 改变 不 会 立即 同步 到 系统 中 ， 
所 以 如 果 发 现 修改 完成 后 还 显示 原来 的 主机 和 名称， 可 重启 虚拟 机 后 再 行 查看 : 











[root@linuxprobe ~]# hostname 


linuxprobe.com 





4.1.3 ”配置 网 卡 信息 


网 卡 IP 地 址 配置 的 是 否 正 确 是 两 台 服 务 器 是 否 可 以 相互 通信 的 前 提 。 在 Linux 系统 中 ， 
一 切 都 是 文件 ， 因 此 配置 网 络 服务 的 工作 其 实 就 是 在 编辑 网 卡 配置 文件 ， 因 此 这 个 小 任务 不 
仅 可 以 帮助 您 练习 使 用 Vim 编辑 器 ， 而 且 也 为 您 后 面 学 习 Linux 中 的 各 种 服务 配置 打下 了 坚 
实 的 基础 。 当 您 认真 学 习 完 本 书后 ， 一 定 会 特别 有 成 就 感 ， 因 为 本 书 前 面 的 基础 部 分 非常 扎 
实 ， 而 后 面 内 容 则 具有 几乎 一 致 的 网 卡 IP 地 址 和 运行 环境 ， 从 而 确保 您 全 身心 地 投入 到 各 类 
服务 程序 的 学 习 上 ， 而 不 用 操心 系统 环境 的 问题 。 

如 果 您 具备 一 定 的 运 维 经 验 或 者 熟悉 早期 的 Linux 系统 ， 则 在 学 习 本 书 时 会 遇 到 一 些 不 































































































容易 接受 的 差异 变化 。 在 RHEL 5、RHEL 6 中 ,网卡 配 置 文件 的 前 级 为 eth， 第 1 块 网 卡 为 
eth0， 第 2 块 网 卡 为 ethl; 以 此 类 推 。 而 在 RHEL7 中 ， 网 卡 配 置 文件 的 前 级 则 以 ifcfg 开始 ， 
加 上 网 卡 名 称 共同 组 成 了 网 卡 配 置 文件 的 名 字 ， 例 如 ifcfg-eno16777736; 好 在 除了 文件 名 变 
化 外 也 没有 其 他 大 的 区 别 。 

现在 有 一 个 名 称 为 ifcfg-eno16777736 的 网 卡 设备 ,我们 将 其 配置 为 开机 自 启动 , 并 且 人 P 
地 址 、 子 网 、 网 关 等 信息 由 人 工 指定 ， 其 步 又 应 该 如 下 所 示 。 

第 1 步 : 首先 切换 到 /etc/sysconfig/network-scripts 目录 中 (存放 着 网 卡 的 配置 文件 )。 


第 2 步 : 使 用 Vim 编辑 器 修改 网 卡 文件 ifcfg-eno16777736， 逐 项 写 人 下 面 的 配置 参数 并 






























































保存 退出 。 由 于 每 台 设备 的 硬件 及 架构 是 不 一 样 的 , 因此 请 读者 使 用 ifconfig 命令 自行 确认 各 
自 网 卡 的 默认 名 称 。 


> 


VV vv vyYvyYv 


Vv 





设备 类 型 : TYPE=Ethernet 

地 址 分 配 模 式 : BOOTPROTO=static 
网 卡 名 称 : NAME=eno16777736 

是 否 启动 : ONBOOT=yes 

IP 地 址 : IPADDR=192.168.10.10 

子 网 掩 码 : NETMASK=255.255.255.0 
网 关 地 址 : GATEWAY=192.168.10.1 
DNS 地 址 : DNS1=192.168.10.1 





第 3 步 : 重启 网 络 服务 并 测试 网 络 是 否 联通 。 
进入 到 网 卡 配置 文件 所 在 的 目录 ， 然 后 编辑 网 卡 配 置 文件 ， 在 其 中 填 入 下 面 的 信息 : 




















[root@linuxprobe ~]# cd /etc/sysconfig/network-scripts/ 


[root@linuxprobe network-scripts]# vim ifcfg-enol16777736 
TYPE=Ethernet 

BOOTPROTO=static 

NAME=eno16777736 

ONBOOT=yes 

IPADDR=192.168.10.10 

NETMASK=255.255.255.0 
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GATEWAY=192.168.10.1 
DNS1=192.168.10.1 





执行 重启 网 卡 设备 的 命令 ( 在 正常 情况 下 不 会 有 提示 信息 ), 然后 通过 ping 命令 测试 网 络 能 否 
联通 。 由 于 在 Linux 系统 中 ping 命令 不 会 自动 终止 ， 因 此 需要 手动 按 下 Ctrl-c 键 来 强行 结束 进程 。 


























[root@linuxprobe network-scripts]# systemctl1 restart network 
[root@linuxprobe network-scripts]# ping 192.168.10.10 

PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 

64 bytes from 192.168.10.10: icmp seq=1 ttl1l=64 time=0.081 ms 
64 bytes from 192.168.10.10: icmp seq=2 ttl1l=64 time=0.083 ms 
64 bytes from 192.168.10.10: icmp seq=3 ttl1=64 time=0.059 ms 
64 bytes from 192.168.10.10: icmp seq=4 ttl1=64 time=0.097 ms 
es 

= /4192168%s 10,10., Bing stat 和 tistics == 

4 packets transmitted, 4 received, 0% packet loss, time 2999ms 
rtt min/avg/max/mdev = 0.059/0.080/0.097/0.013 ms 





4.1.4 ”配置 Yum 软件 仓库 


本 书 前 面 讲 到 ，Yum 软件 仓库 的 作用 是 为 了 进一步 简化 RPM 管理 软件 的 难度 以 及 自动 分 析 
所 需 软件 包 及 其 依赖 关系 的 技术 。 可 以 把 Yam 想象 成 是 一 个 硕大 的 软件 仓库 , 里 面 保存 有 几乎 所 
有 常用 的 工具 ， 而 且 只 需要 说 出 所 需 的 软件 包 名 称 ， 系 统 就 会 自动 为 您 搞定 一 切 。 

既然 要 使 用 Yum 软件 仓库 ， 就 要 先 把 它 搭建 起 来 ,然后 将 其 配置 规则 确定 好 才 行 。 鉴 于 
第 6 章 才 会 讲解 Linux 的 存储 结构 和 设备 挂 载 操 作 ， 所 以 我 们 当前 还 是 将 重心 放 到 Vim 编辑 
器 的 学 习 上 。 如 果 遇 到 看 不 懂 的 参数 也 不 要 紧 ， 后面 章节 会 单独 讲解 。 搭 建 并 配置 Yom 软件 
仓库 的 大 致 步骤 如 下 所 示 。 

第 1 步 : 进入 到 /etc/yum.repos.d/ 目 录 中 (因为 该 目录 存放 着 Yam 软件 仓库 的 配置 文件 )。 

第 2 步 : 使 用 Vim 编辑 器 创建 一 个 名 为 rthel7.repo 的 新 配置 文件 (文件 名 称 可 随意 ,但 后 
缀 必须 为 repo )， 逐 项 写 入 下 面 加 粗 的 配置 参数 并 保存 退出 (不 要 写 后 面 的 中 文 注释 )。 

> [rhel-media] : Yum 软件 仓库 唯一 标识 符 ， 避 人 免 与 其 他 仓库 冲突 。 

> name=linuxprobe: Yum 软件 仓库 的 名 称 描述 ， 易 于 识别 仓库 用 处 。 

> baseurl=file:///media/cdrom: 提供 的 方式 包括 FTP ( ftp:1/.. )、HTTP (http:/.. )、 本 地 

( file://.. )。 

> enabled=1: 设置 此 源 是 否 可 用 ; 1 为 可 用 ,0 为 禁用 。 

> gpgcheck=1: 设置 此 源 是 否 校 验 文件 ; 1 为 校 验 ，0 为 不 校 验 。 

> gpgkey=file:///media/cdrom/RPM-GPG-KEY-redhat-release : 若 上 面 参数 开启 校 

验 ， 那么 请 指定 公 钥 文件 地 址 。 

第 3 步 : 按 配置 参数 的 路 径 挂 载 光 盘 ， 并 把 光盘 挂 载 信息 写 人 到 /etc/fstab 文件 中 。 

第 4 步 : 使 用 “yum install httpd -y” 命 令 检查 Yum 软件 仓库 是 否 已 经 可 用 。 

进入 /etc/yum.repos.d 目录 中 后 创建 Yum 配置 文件 : 


















































































































































[root@linuxprobe ~]# cd /etc/yum.repos.d/ 
[root@linuxprobe yum.repos.d]# vim rhel7.repo 
[rhel7] 

name=rhel7 

baseurl=file:///media/cdrom 
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enabled=1 
gpgcheck=0 








创建 挂 载 点 后 进行 挂 载 操 作 ， 并 设置 成 开机 自动 挂 载 ( 详 见 第 6 章 )。 尝 试 使 用 Yum 软 
件 仓库 来 安装 Web 服务 ， 出 现 Complete! 则 代表 配置 正确 : 











root@linuxprobe yum.repos.d]# mkdir -p /media/cdrom 
root@linuxprobe yum.repos.d]l# mount /dev/cdrom /media/cdrom 
mount: /dev/sr0 is write-protected, mounting read-only 
root@linuxprobe yum.repos.d]l# vim /etc/fstab 

/dev/cdrom /media/cdrom iso9660 defaults 0 0 

root@linuxprobe ~]# yum install httpd 

Loaded Plugins: langpacks, product-id, subscription-manager 
ee 省 略 部 分 输出 信息 


Dependencies Resolved 

















Package Arch Version Repository Size 








Installing: 

httpd x86 64 2.4.6-17.el7 rhel 1.2 M 
Installing for dependencies: 

apr x86 64 1.4.8-3.el7 rhel 103 k 
apr-util x86 64 1.5.2-6.el7 rhel 92 k 
httpd-tools x86 64 2.4.6-17.el7 rhel 77 k 
mailcap noarch 2.1.41-2.el7 rhel 31 k 


Transaction Summary 








Install 1 Package (+4 Dependent packages) 
Total download size: 1.5 M 

Installed size: 4.3 M 

Is this ok [y/d/N]: y 


Downloading packages: 


i 省 略 部 分 输出 信息 


Complete! 





| 4.2 编写 Shell 脚本 





可 以 将 Shell 终端 解释 器 当 作 人 与 计算 机 硬件 之 间 的 “翻译 官 ”， 它 作为 用 户 与 Linux 系 
统 内 部 的 通信 媒介 ， 除 了 能 够 支持 各 种 变量 与 参数 外 ， 还 提供 了 诸如 循环 、 分 支 等 高 级 编程 
语言 才 有 的 控制 结构 特性 。 要 想 正 确 使 用 Shell 中 的 这 些 功 能 特性 ， 准 确 下 达 命 令 尤 为 重要 。 
Shell 脚本 命令 的 工作 方式 有 两 种 : 交互 式 和 批 处 理 。 

> 交互 式 (Interactive ): 用 户 每 输入 一 条 命令 就 立即 执行 。 

> 批 处 理 (Batch ): 由 用 户 事先 编写 好 一 个 完整 的 Shell 脚本 ，Shell 会 一 次 性 执行 脚本 

中 诸多 的 命令 。 

在 Shell 脚本 中 不 仅 会 用 到 前 面 学 习 过 的 很 多 Linux 命令 以 及 正则 表达 式 、 管 道 符 、 数 据 
流 重 定向 等 语法 规则 ， 还 需要 把 内 部 功能 模块 化 后 通过 逻辑 语句 进行 处 理 ， 最 终 形 成 日 常 所 
见 的 Shell 脚本 。 
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查看 SHELL 变量 可 以 发 现 当前 系统 已 经 默认 使 用 Bash 作为 命令 行 终端 解释 器 了 : 








[root@linuxprobe ~]# echo $SHELL 
/bin/bash 





4.2.1 编写 简单 的 脚本 





估计 读者 在 看 完 上 文中 有 关 Shell 脚本 的 复杂 描述 后 , 会 累 觉 不 爱 吧 。 但 是 ， 上 文 指 的 
一 个 高 级 Shell 脚本 的 编写 原则 , 其 实 使 用 Vim 编辑 器 把 Linux 命令 按照 顺序 依次 写 人 到 一 











文件 中 ， 这 就 是 一 个 简单 的 脚本 了 。 





日 
人 


人 





例如 ， 如 果 想 查看 当前 所 在 工作 路 径 并 列 出 当前 目录 下 所 有 的 文件 及 属性 信息 ， 实 现 这 


个 功能 的 脚本 应 该 类 似 于 下 面 这 样 : 





[root@linuxprobe ~]# vim example.sh 
#!/bin/bash 
#For Example BY linuxprobe.com 











pwd 
LS 二 人 
Shell 脚本 文件 的 名 称 可 以 任意 ， 但 为 了 避免 被 误 以 为 是 普通 文件 ， 建 议 将 .sh 后 级 加 上 ， 以 




















表示 是 一 个 脚本 文件 。 在 上 面 的 这 个 example.sh 脚本 中 实际 上 出 现 了 三 种 不 同 的 元 素 : 第 一 行 的 
脚本 声明 ( 井 ) 用 来 告诉 系统 使 用 哪 种 Shell 解释 器 来 执行 该 脚本 ; 第 二 行 的 注释 信息 (# ) 是 对 
脚本 功能 和 某 些 命令 的 介绍 信息 ， 使 得 自己 或 他 人 在 日 后 看 到 这 个 脚本 内 容 时 ， 可 以 快速 知道 该 



































脚本 的 作用 或 一 些 警告 信息 ; 第 三 、 四 行 的 可 执行 语句 也 就 是 我 们 平时 执行 的 Linux 命令 了 。 











么 ? ! 你 们 不 相信 这 么 简单 就 编写 出 来 了 一 个 脚本 程序 ， 那 我 们 来 执行 一 下 看 看 结果 : 

















什 





[root@linuxprobe ~]# bash example .sh 

/root/Desktop 

total 8 

QEWXRIE = XE. .2 LOOt LOOt 23 IU 23 T7531 
dr-xr-x--—-. 14 root root 4096 Jul 23 17:31 .. 
—rIWXr--r--. 1 root root 55 Jul 23 17:31 example.sh 





除了 上 面 用 bash 解释 器 命令 直接 运行 Shell 脚本 文件 外 ， 第 二 种 运行 脚本 程序 的 方法 
通过 输入 完整 路 径 的 方式 来 执行 。 但 默认 会 因为 权限 不 足 而 提示 报错 信息 ， 此 时 只 需要 为 
































日 
全 


出 | 
A 





本 文件 增加 执行 权限 即 可 ( 详 见 第 5 章 )。 初次 学 习 Linux 系统 的 读者 不 用 心急 ， 等 下 一 章 学 





完 用 户 身 份 和 权限 后 再 来 做 这 个 实验 也 不 述 : 





[root@linuxprobe ~]# ./example.sh 

bash: ./Example.sh: Permission denied 
[root@linuxprobe ~]# chmod ut+x example.sh 
[root@linuxprobe ~]# ./example.sh 

/root/Desktop 

total 8 

drwxr—xt x 性 全 Oo Eeet “23. JU1L 23217331 3 
dr-xr-x--—-. 14 root root 4096 Jul 23 17:31 .. 
—rIWXr--r--. 1 root root 55 Jul 23 17:31 example.sh 





4.2.2 ”接收 用 户 的 参数 


但 是 , 像 上 面 这 样 的 脚本 程序 只 能 执行 一 些 预先 定义 好 的 功能 ， 未 免 太 过 死板 了 。 为 了 
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让 Shell 脚本 程序 更 好 地 满足 用 户 的 一 些 实时 需求 , 以 便 灵 活 完 成 工作 ,必须 要 让 脚本 程序 能 
够 像 之 前 执行 命令 时 那样 ， 接 收 用 户 输 入 的 参数 。 
其 实 ，Linux 系统 中 的 Shell 脚本 语言 早 就 考虑 到 了 这 些 , 已 经 内 设 了 用 于 接收 参数 的 变 
量 ， 变 量 之 间 可 以 使 用 空格 间隔 。 例 如 $0 对 应 的 是 当前 Shell 脚本 程序 的 名 称 ， 甸 对 应 的 是 总 共 
有 几 个 参数 ，$* 对 应 的 是 所 有 位 置 的 参数 值 ，$? 对 应 的 是 显示 上 一 次 命令 的 执行 返回 值 ， 而 
$1、$2 、$3…… 则 分 别 对 应 着 第 N 个 位 置 的 参数 值 ， 如 图 4-15 所 示 。 
($6, 第 6 个 位 置 参数 ] 









































[root@linuxprobpe ~ ]#./Example.sh one two three four five Six 





$1， 第 1 个 位 置 参 数 | | $2，, 第 2 个 位 置 参 数 
图 4-15 Shell 脚本 程序 中 的 参数 位 置 变 量 
理论 过 后 我 们 来 练习 一 下 。 尝 试 编写 一 个 脚本 程序 示例 ， 通 过 引用 上 面 的 变量 参数 来 看 
下 真实 效果 : 


[root@linuxprobe ~]# vim example.sh 

#!/bin/bash 

echo "当前 脚本 名 称 为 $0" 

echo "总 共有 5$# 个 参数 ， 分 别 是 S*。" 

echo "第 1 个 参数 为 S1， 第 5 个 为 S5。" 

[root@linuxprobe ~]# sh example.sh one 七 WO three four five six 
当前 脚本 名 称 为 example . sh 

总 共有 6 个 参数 ， 分 别 是 one two three four five six。 

第 1 个 参数 为 one， 第 5 个 为 five。 

































































4.2.3 判断 用 户 的 参数 


学 习 是 一 个 登 堂 和 人 室 、 由 浅 和 深 的 过 程 。 在 学 习 完 Linux 命令 、 掌 握 Shell 脚本 语法 变量 
和 接收 用 户 输入 的 信息 之 后 ， 就 要 踏 上 新 的 高 度 一 一 能 够 进一步 处 理 接 收 到 的 用 户 参数 。 

在 本 书 前 面 章 节 中 讲 到 ， 系 统 在 执行 mkdir 命令 时 会 判断 用 户 输 入 的 信息 ， 即 判断 用 户 
指定 的 文件 夹 名 称 是 否 已 经 存在 ， 如 果 存 在 则 提示 报错 ; 反之 则 自动 创建 。Shell 脚本 中 的 条 
件 测试 语法 可 以 判断 表达 式 是 否 成 立 ， 寿 条 件 成 立 则 返回 数字 0， 否则 便 返 回 其 他 随机 数值 。 
条 件 测试 语法 的 执行 格式 如 图 4-16 所 示 。 切 记 ， 条 件 表达 式 两 边 均 应 有 一 个 空格 。 









































测试 语句 格式 :[ 条 件 表达 式 ] 
两 边 均 应 有 一 个 空格 
图 4-16 条 件 测试 语句 的 执行 格式 


按照 测试 对 象 来 划分 ， 条 件 测试 语句 可 以 分 为 4 种 : 

> 文件 测试 语句 ; 

> 逻辑 测试 语句 ; 

> 整数 值 比较 语句 ; 

> 字符 串 比较 语句 。 

文件 测试 即使 用 指定 条 件 来 判断 文件 是 否 存 在 或 权限 是 否 满足 等 情况 的 运算 符 , 具体 的 参数 
如 表 4-3 所 示 。 
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表 4-3 文件 测试 所 用 的 参数 
运算 符 作用 

-qd 测试 文件 是 否 为 目录 类 型 
-e 测试 文件 是 否 存 在 
-£ 判断 是 否 为 一 般 文 件 
-r 测试 当前 用 户 是 否 有 权限 读 取 
—w 测试 当前 用 户 是 否 有 权限 写 入 
-x 测试 当前 用 户 是 否 有 权限 执行 























下 面 使 用 文件 测试 语句 来 判断 /etc/fstab 是 否 为 一 个 目录 类 型 的 文件 , 然后 通过 Shell 解释 
器 的 内 设 $? 变 量 显 示 上 一 条 命令 执行 后 的 返回 值 。 如 果 返 回 值 为 0, 则 目录 存在 ; 如 果 返 回 值 
为 非 零 的 值 ， 则 意味 着 目录 不 存在 : 


















































[root@linuxprobe ~]# [ -d /etc/fstab ] 

[root@linuxprobe ~]# echo $? 

2 

再 使 用 文件 测试 语句 来 判断 /etc/fstab 是 否 为 一 般 文 件 ， 如 果 返 回 值 为 0， 则 代表 文件 存 
在 ， 且 为 一 般 文 件 : 

[root@linuxprobe ~]# [ -f /etc/fstab ] 

[root@linuxprobe ~]# echo $? 

0 


























逻辑 语句 用 于 对 测试 结果 进行 逻辑 分 析 ， 根据 测试 结果 可 实现 不 同 的 效果 。 例 如 在 Shell 
终端 中 逻辑 “与 ”的 运算 符号 是 &&, 它 表 示 当 前 面 的 命令 执行 成 功 后 才 会 执行 它 后 面 的 命令 ， 
因此 可 以 用 来 判断 /dev/cdrom 文件 是 否 存在 ， 若 存在 则 输出 Exist 字样 。 











[root@linuxprobe ~]# [ -e /dev/cdrom ] && echo "Exist" 


Exist 

除了 逻辑 “与 ”外 ， 还 有 他 辑 “或 "， 它 在 Linux 系统 中 的 运算 符号 为 |， 表 示 当 前 面 的 
命令 执行 失败 后 才 会 执行 它 后 面 的 命令 ， 因 此 可 以 用 来 结合 系统 环境 变量 USER 来 判断 当前 
登录 的 用 户 是 否 为 非 管理 员 身 份 : 


[root@linuxprobe ~]# echo $USER 





荆 











训 








root 

[root@linuxprobe ~]# [ SUSER = root ] || echo "user" 
[root@linuxprobe ~]# su - linuxprobe 
[linuxprobe@linuxprobe ~]$ [ $USER = root ] || echo "user" 
user 





























第 三 种 逻辑 语句 是 “ 非 ”， 在 Linux 系统 中 的 运算 符号 是 一 个 叹 号 (1 )， 它 表示 把 条 件 测 
试 中 的 判断 结果 取 相 反 值 。 也 就 是 说 ， 如 果 原 本 测试 的 结果 是 正确 的 ， 则 将 其 变 成 错误 的 ; 
原本 测试 错误 的 结果 则 将 其 变 成 正确 的 。 

我 们 现在 切换 到 一 个 普通 用 户 的 身份 ， 再 判断 当前 用 户 是 否 为 一 个 非 管理 员 的 用 户 。 由 
于 判断 结果 因为 两 次 否定 而 变 成 正确 ， 因 此 会 正 党 地 输出 预 设 信息 : 
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[linuxprobe@linuxprobe ~]$ exit 

logout 

[root@linuxprobe root]# [ ! $USER = root ] || echo "administrator" 
administrator 




















就 技术 图 书 的 写作 来 讲 ， 一般 有 两 种 套路 : 让 读者 真正 搞 懂 技 术 了 ; 让 读者 觉得 自己 搞 
懂 技 术 了 。 因 此 市 面 上 很 多 浅显 的 图 书 会 让 读者 在 学 完 之 后 感觉 进步 特别 快 ， 这 基本 上 是 作 
者 有 意 为 之 ,目的 就 是 让 您 觉得 “图 书 很 有 有料， 自己 收 获 很 大 ”, 但 是 在 步 人 工作 岗位 后 就 露 
出 短 板 吃 大 亏 。 所 以 刘 道 老师 决定 继续 提高 难度 ， 为 读者 增加 一 个 综合 的 示例 ， 一 方面 作为 
前 述 知识 的 总 结 ， 男 一 方面 帮助 读者 夯实 基础 ， 能 够 在 今后 工作 中 更 灵活 地 使 用 逻辑 符号 。 

当前 我 们 正在 登录 的 即 为 管理 员 用 户 一 一 root。 下 面 这 个 示例 的 执行 顺序 是 , 先 判断 当前 
登录 用 户 的 USER 变量 名 称 是 否 等 于 root， 然 后 用 逮 辑 运算 符 “ 非 ”进行 取 反 操作 ， 效 果 就 
变 成 了 判断 当前 登录 的 用 户 是 否 为 非 管理 员 用 户 了 。 最 后 若 条 件 成 立 则 会 根据 逻辑 “与 ” 运 
算 符 输出 user 字样 ; 或 条 件 不 满足 则 会 通过 逻辑 “或 ”运算 符 输出 root 字样 ， 而 如 果 前 面 的 
信 & 不 成 立 才 会 执行 后 面 的 | 符号 。 

[root@linuxprobe ~]# [ ! $USER = root ] && echo "user" || echo "root" 

root 






















































































整数 比较 运算 符 仅 是 对 数字 的 操作 ， 不 能 将 数字 与 字符 串 、 文 件 等 内 容 一 起 操作 ， 而 且 
不 能 想当然 地 使 用 日 常生 活 中 的 等 号 、 大 于 号 、 小 于 号 等 来 判断 。 因 为 等 号 与 赋值 命令 符 冲 
突 ， 大 于 号 和 小 于 号 分 别 与 输出 重 定向 命令 符 和 输入 重 定向 命令 符 冲 突 。 因 此 一 定 要 使 用 规 
范 的 整数 比较 运算 符 来 进行 操作 。 可 用 的 整数 比较 运算 符 如 表 4-4 所 示 。 






































表 4-4 可 用 的 整数 比较 运算 符 
运算 符 作用 

-eq 是 否 等 于 

-ne 是 否 不 等 于 

—gt 是 否 大 于 

-1t 是 否 小 于 

-le 是 否 等 于 或 小 于 

-ge 是 否 大 于 或 等 于 











接 下 来 小 试 牛刀 。 我 们 先 测试 一 下 10 是 否 大 于 10 以 及 10 是 否 等 于 10 (通过 输出 的 返 
回 值 内 容 来 判断 ): 


root@linuxprobe ~]# [ 10 -gt 10 ] 








root@linuxprobe ~]# echo $2? 

Lk 

root@linuxprobe ~]# [ 10 -eq 10 ] 
root@linuxprobe ~]# echo $2? 

0 














在 2.4 节 曾 经 讲 过 free 命令 ， 它 可 以 用 来 获取 当前 系统 正在 使 用 及 可 用 的 内 存量 信息 。 
接 下 来 先 使 用 free -m 命令 查看 内 存 使 用 量 情况 (单位 为 MB )， 然 后 通过 grep Mem: 命 令 过 滤 
出 剩余 内 存量 的 行 ， 再 用 awk '{print $4} 命令 只 保留 第 四 列 ， 最 后 用 FreeMem=` 语 句 ` 的 方式 
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4.3 ”流程 控制 语句 


把 语句 内 执行 的 结果 赋值 给 变量 。 
这 个 演示 确实 有 些 难 度 ， 但 看 懂 后 会 觉得 很 有 意思 ， 没 准 在 运 维 工作 中 也 会 用 得 上 。 








[root@linuxprobe ~]# free -m 
total used free shared buffers cached 
Mem: 182.6 1244 582 9 1 413 
-/+ buffers/cache: 830 996 
Swap: 2047 0 2047 
[root@linuxprobe ~]# free -m | grep Mem: 
Mem : 1826 1244 582 9 
[root@linuxprobe ~]# free -m | grep Mem: | awk '{print $4}"' 
582 
[root@linuxprobe ~]# FreeMem=` free 一 mn | grep Mem: | awk '{print $4}"'° 
[root@linuxprobe ~]# echo $FreeMem 
582 





上 面 用 于 获取 内 存 可 用 量 的 命令 以 及 步骤 可 能 有 些 “ 超 纲 ” 了 ， 如 果 不 能 理解 领会 也 不 
用 担心 ， 接 下 来 才 是 重点 。 我 们 使 用 整数 运算 符 来 判断 内 存 可 用 量 的 值 是 否 小 于 1024 ， 阁 小 
于 则 会 提示 “Insufficient Memory”( 内 存 不 足 ) 的 字样 

















[root@linuxprobe ~]# [ $FreeMem -lt 1024 ] && echo "Insufficient Memory" 
Insufficient Memory 











字符 串 比较 语句 用 于 判断 测试 字符 串 是 否 为 空 值 ， 或 两 个 字符 串 是 否 相 同 。 它 经 常用 来 
判断 某 个 变量 是 否 未 被 定义 ( 即 内 容 为 空 值 )， 理 解 起 来 也 比较 简单 。 字 符 串 比较 中 常见 的 运 
算 符 如 表 4-5 所 示 。 



























































表 4-5 常见 的 字符 串 比 较 运 算 符 
运算 符 作用 
= 比较 字符 串 内 容 是 否 相 同 
= 比较 字符 串 内 容 是 否 不 同 
-2z 判断 字符 串 内 容 是 否 为 空 
接 下 来 通过 判断 String 变量 是 否 为 空 值 ， 进 而 判断 是 否定 义 了 这 个 变量 : 
[root@linuxprobe ~]# [ -z S$SStrind] 
[root@linuxprobe ~]# echo $? 
0 








尝试 引入 逻辑 运算 符 来 斌 一下。 当 用 于 保存 当前 语系 的 环境 变量 值 LANG 不 是 英语 
(en.US ) 时 ， 则 会 满足 逻辑 测试 条 件 并 输出 “Not en.US”( 非 英 语 ) 的 字样 : 








[root@linuxprobe ~]# echo S$LANG 

en_US.UTF-8 

[root@linuxprobe ~]# [ $LANG != "en.US" ] && echo "Not en.US" 
Not en.US 





4.3 “流程 控制 语句 





尽管 此 时 可 以 通过 使 用 Linux 命令 、 管 道 符 、 重 定向 以 及 条 件 测试 语句 来 编写 最 基本 的 
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Shell 脚本 ,但 是 这 种 脚本 并 不 适用 于 生产 环境 。 原 因 是 它 不 能 根据 真实 的 工作 需求 来 调整 
具体 的 执行 命令 ， 也 不 能 根据 某 些 条 件 实现 自动 循环 执行 。 例 如 ， 我 们 需要 批量 创建 1000 
位 用 户 ， 首 先 要 判断 这 些 用 户 是 否 已 经 存在 ; 若 不 存在 ， 则 通过 循环 语句 让 脚本 自动 且 依 
次 创建 他 们 。 

接 下 来 我 们 通过 过 、for、while、case 这 4 种 流程 控制 语句 来 学 习 编 写 难度 更 大 、 功 能 
强 的 Shell 脚本 。 为 了 保证 下 文 的 实用 性 和 趣味 性 ， 做 到 寓 教 于 乐 , 我 会 尽 可 能 多 地 讲解 各 种 
不 同 功能 的 Shell 脚本 示例 ， 而 不 是 逮 住 一 个 脚本 不 放 , 在 它 原 有 内 容 的 基础 上 修 修补 补 。 尽 
管 这 种 修补 式 的 示例 教学 也 可 以 让 读者 明白 理论 知识 ， 但 是 却 无 法 开放 思路 ， 不 利于 日 后 的 
工作 。 


4.3.1 后 条 件 测试 语句 


if 条 件 测试 语句 可 以 让 脚本 根据 实际 情况 自动 执行 相应 的 命令 。 从 技术 角度 来 讲 ，if 语 
句 分 为 单 分 支 结 构 、 双 分 支 结 构 、 多 分 支 结 构 ; 其 复杂 度 随 着 灵活 度 一 起 逐 级 上 升 。 

让 条 件 语 句 的 单 分 支 结构 由 让 、then 、 乓 关键 词组 成 ， 而 且 只 在 条 件 成 立 后 才 执 行 预 设 的 
命令 , 相当 于 口语 的 “如 果 …… 那 么 ……”。 单 分 支 的 让 语句 属于 最 简单 的 一 种 条 件 判 断 结构 ， 
语法 格式 如 图 4-17 所 示 。 














































































































if 条 件 测试 操作 
then 命令 序列 


if 目录 不 存在 
then 创建 该 目录 











图 4-17 单 分 支 的 过 语句 


下 面 使 用 单 分 支 的 过 条 件 语句 来 判断 /media/cdrom 目录 是 否 存在 ， 若 存在 就 结束 条 件 判 
断 和 整个 Shell 脚本 ， 反 之 则 去 创建 这 个 目录 : 











[root@linuxprobe ~]# vim mkcdrom.sh 
#!/bin/bash 
DIR="/media/cdrom" 


if [ ! -~e $DIR ] 
then 

mkdir -p S$DIR 

b 





由 于 第 5 章 才 讲解 用 户 身份 与 权限 ， 因 此 这 里 继续 用 “bash 脚本 名 称 ” 的 方式 来 执行 脚 
本 。 在 正常 情况 下 ， 顺 利 执行 完 脚本 文件 后 没有 任何 输出 信息 ， 但 是 可 以 使 用 ls 命令 验证 
/media/cdrom 目录 是 否 已 经 成 功 创建 : 





























[root@linuxprobe ~]# bash mkcdrom.sh 
[root@linuxprobe ~]# ls -d /media/cdrom 
/media/cdrom 





让 条 件 语句 的 双 分 支 结构 由 过、then、else、fi 关键 词组 成 ， 它 进行 一 次 条 件 匹 配 判断 ， 
如 果 与 条 件 匹 配 ， 则 去 执行 相应 的 预 设 命令 ; 反之 则 去 执行 不 匹配 时 的 预 设 命令 ， 相 当 于 口 
语 的 “如 果 …… 那 么 …… 或 者 …… 那 么 ……”。 让 条 件 语 句 的 双 分 支 结构 也 是 一 种 很 简单 的 判 
断 结 构 ， 语 法 格式 如 图 4-18 所 示 。 
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if 条 件 测试 操作 if 能 够 ping 通 
then 命令 序列 1 then 提示 服务 器 正常 工作 


命令 序列 2 else 报警 服务 器 出 现 问 题 











图 4.18 双 分 支 的 让 语句 


下 面 使 用 双 分 支 的 让 条 件 语句 来 验证 某 台 主 机 是 否 在 线 ， 然 后 根据 返回 值 的 结果 ， 要 么 
显示 主机 在 线 信息 ， 要 么 显示 主机 不 在 线 信 息 。 这 里 的 脚本 主要 使 用 ping 命令 来 测试 与 对 方 
主机 的 网 络 联通 性 ， 而 Linux 系统 中 的 ping 命令 不 像 Windows 一 样 尝试 4 次 就 结束 ,因此 为 
了 避免 用 户 等 待 时 间 过 长 ， 需 要 通过 -c 参数 来 规定 尝试 的 次 数 ， 并 使 用 -i 参数 定义 每 个 数据 
包 的 发 送 间 隔 ， 以 及 使 用 -W 参数 定义 等 待 超时 时 间 。 

















[root@linuxprobe ~]# vim chkhost.sh 
#!/bin/bash 

ping -c 3 -i 0.2 -W 3 $1 &> /dev/null 
if [ $? -eq 0 

then 

echo "Host $1 is On-line." 

else 

echo "Host $1 is Off-line." 

末 东 





我 们 在 4.2.3 小 节 中 用 过 $? 变 量 , 作用 是 显示 上 一 次 命令 的 执行 返回 值 。 若 前 面 的 那 条 语 
名 成 功 执行 ， 则 $? 变 量 会 显示 数字 0， 反 之 则 显示 一 个 非 零 的 数字 ( 可 能 为 1， 也 可 能 为 2， 
取决 于 系统 版 本 )。 因 此 可 以 使 用 整数 比较 运算 符 来 判断 $? 变 量 是 否 为 0， 从 而 获知 那 条 语句 
的 最 终 判 断 情况 。 这 里 的 服务 器 IP 地 址 为 192.168.10.10， 我 们 来 验证 一 下 脚本 的 效果 : 

[root@linuxprobe ~]# bash chkhost.sh 192.168.10.10 

Host 192.168.10.10 is On-line. 


[root@linuxprobe ~]# bash chkhost.sh 192.168.10.20 
Host 192.168.10.20 is Off-line. 














站 条 件 语句 的 多 分 支 结构 由 让 、then 、else 、elif 、 乓 关键 词组 成 ， 它 进行 多 次 条 件 匹 配 判 
断 ， 这 多 次 判断 中 的 任何 一 项 在 匹配 成 功 后 都 会 执行 相应 的 预 设 命令 ， 相当 于 口语 的 “如 
果 …… 那 么 …… 如 果 …… 那 么 ……”。 证 条 件 语句 的 多 分 支 结构 是 工作 中 最 常 使 用 的 一 种 条 件 
判断 结构 ， 尽 管 相对 复杂 但 是 更 加 灵活 ， 语 法 格式 如 图 4-19 所 示 。 


if 条 件 测试 操作 1 if 分 数 为 85 一 100 之 间 














then 命令 序列 1 then 判 为 优秀 
elif 条 件 测试 操作 2 elif 分 数 为 70 一 84 之 间 


then 命令 序列 2 then 判 为 合格 


命令 序列 3 判 为 不 合格 

















图 4-19 多 分 支 的 让 语句 
下 面 使 用 多 分 支 的 让 条 件 语句 来 判断 用 户 输入 的 分 数 在 哪个 成 绩 区 间 内 ， 然 后 输出 如 
Excellent、Pass 、Fail 等 提示 信息 。 在 Linux 系统 中 ，read 是 用 来 读 取 用 户 输入 信息 的 命令 ， 
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能 够 把 接收 到 的 用 户 输入 信息 赋值 给 后 面 的 指定 变量 ，-p 参数 用 于 向 用 户 显示 一 定 的 提示 信 
息 。 在 下 面 的 脚本 示例 中 ,只 有 当 用 户 输入 的 分 数 大 于 等 于 85 分 且 小 于 等 于 100 分 , 才 输 出 
Excellent 字样 ; 若 分 数 不 满 足 该 条 件 〈 即 匹配 不 成 功 )， 则 继续 判断 分 数 是 否 大 于 等 于 70 分 
且 小 于 等 于 84 分 , 如 果 是 , 则 输出 Pass 字样 ; 知 两 次 都 落空 ( 即 两 次 的 匹配 操作 都 失败 了 )， 
则 输出 Fail 字样 : 






































[root@linuxprobe ~]# vim chkscore .sh 
#!/bin/bash 
read -p "Enter your score (0-100): " GRADE 


if [ S$GRADE -ge 85 ] &é& [ S$GRADE -le 100 ] ; then 
echo "SGRADE is Excellent" 

elif [ $GRADE -ge 70 ] && [ S$GRADE -le 84 ] ; then 
echo "SGRADE is Pass" 


else 

echo "S$GRADE is Fail" 

下 

[root@linuxprobe ~]# bash chkscore .sh 


Enter your score (0-100): 88 

88 is Excellent 

[root@linuxprobe ~]# bash chkscore.sh 
Enter your score (0-100): 80 

80 is Pass 


下 面 执行 该 脚本 。 当 用 户 输入 的 分 数 分 别 为 30 和 200 时 ， 其 结果 如 下 : 


[root@linuxprobe ~]# bash chkscore.sh 











Enter your score (0-100): 30 

30 is Fail 

[root@linuxprobe ~]# bash chkscore.sh 
Enter your score (0-100): 200 

200 is Fail 


为 什么 输入 的 分 数 为 200 时 , 依然 显示 Fail 呢 ? 原 因 很 简单 一 一 没有 成 功 匹 配 脚 本 中 的 两 个 
条 件 判断 语句 ， 因 此 自动 执行 了 最 终 的 忽 底 策略 。 可 见 ， 这 个 脚本 还 不 是 很 完美 ， 建 议 读者 自行 
完善 这 个 脚本 ,使 得 用 户 在 输入 大 于 100 或 小 于 0 的 分 数 时 ， 给 予 Error 报错 字样 的 提示 。 


4.3.2 ”for 条 件 循 环 语句 


for 循环 语句 允许 脚本 一 次 性 读 取 多 个 信息 ， 然 后 逐一 对 信息 进行 操作 处 理 ， 当 要 处 理 的 数据 
有 范围 时 ， 使 用 for 循环 语句 再 适合 不 过 了 。for 循环 语句 的 语法 格式 如 图 4-20 所 示 。 









































for 变量 名 in 取 值 列表 


do 


Eor 用 户 名 in 列表 文件 
创建 用 户 并 设置 密码 





命令 序列 


dor 

















图 4-20 for 循环 语句 的 语法 格式 


下 面 使 用 for 循环 语句 从 列表 文件 中 读 取 多 个 用 户 名 ， 然 后 为 其 逐一 创建 用 户 账户 并 设 
置 密码 。 首 先 创建 用 户 名 称 的 列表 文件 users.txt， 每 个 用 户 名 称 单独 一 行 。 读 者 可 以 自行 决定 
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具体 的 用 户 名 称 和 个 数 : 

[root@linuxprobe ~]# vim users.txt 

andy 

barry 

Garl 

duke 

george 

接 下 来 编写 Shell 脚本 Example.sh。 在 脚本 中 使 用 read 命令 读 取 用 户 输入 的 密码 值 ， 然 
后 赋值 给 PASSWD 变量 , 并 通过 - -P 马 参数 向 用 户 显 示 一 段 提示 信息 , 告诉 用 户 正 在 输入 的 内 容 








即将 作为 账户 密码 。 在 执行 该 脚本 后 ， 会 自动 使 用 从 列表 文件 users.txt 中 获取 到 所 有 的 用 户 


名 称 ， 











然后 逐一 使 用 “id 用 户 名 ”命令 查看 用 户 的 信息 ， 并 使 用 $? 判 断 这 条 命令 是 否 执 行 成 











功 ， 也 就 是 判断 该 用 户 是 否 已 经 存在 。 

















需要 多 说 一 句 ，/dev/null 是 一 个 被 称 作 Linux 黑洞 的 文件 ， 把 输出 信息 重 定 向 到 这 个 文件 等 








同 于 删除 数据 〈 类 似 于 没有 回收 功能 的 垃圾 箱 )， 可 以 让 用 户 的 屏幕 窗口 保持 简洁 。 





[root@linuxprobe ~]# vim Example.sh 
#!/bin/bash 

read -p "Enter The Users Password : " PASSWD 
for UNAME in ‘cat users.txt. 

do 


id SUNRAME &> /dev/null 
if [ $? -eq 0 

then 

echo "Already exists" 


else 

useradd SUNRAME &> /dev/null 
echo "$PASSWD" | passwd --stdin SUNRME &> /dev/null 
if [ $2? -eq 0 

then 

echo "S$UNAME , Create success" 
else 

echo "S$UNAME , Create failure" 
£1i 

£1i 

done 





执行 批量 创建 用 户 的 Shell 脚本 Example.sh， 在 输入 为 账户 设 定 的 密码 后 将 由 脚本 自 





动 检查 并 创建 这 些 账 户 。 由 于 已 经 将 多 余 的 信息 通过 输出 重 定 向 符 转 移 到 了 /dev/null 黑洞 
文件 中 ， 因 此 在 正常 情况 下 屏幕 窗口 除了 “用 户 账户 创建 成 功 ”( Create success ) 的 提示 
后 不 会 有 其 他 内 容 。 
































在 Linux 系统 中 ，/etc/passwd 是 用 来 保存 用 户 账户 信息 的 文件 。 如 果 想 确认 这 个 脚本 是 


























和 否 成 功 创建 了 用 户 账户 ， 可 以 打开 这 个 文件 ， 看 其 中 是 否 有 这 些 新 创建 的 用 户 信息 。 





[root@linuxprobe ~]# bash Example.sh 
Enter The Users Password : linuxprobe 
andy , Create success 

barry ， Create success 

carl , Create success 

duke , Create success 
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eric , Create Success 


george , Create success 


[root@linuxprobe ~]# tail -6 /etc/passwd 
andy:x:1001:1001::/home/andy:/bin/bash 
barry:x:1002:1002::/home/barry:/bin/bash 
carl:x:1003:1003::/home/carl:/bin/bash 
duke:x:1004:1004::/home/duke:/bin/bash 
eric:x:1005:1005::/home/eric:/bin/bash 
george:x:1006:1006::/home/george:/bin/bash 





您 还 记得 在 学 习 双 分 支 让 条 件 语句 时 ， 用 到 的 那个 测试 主机 是 否 在 线 的 脚本 么 ”既然 我 
们 现在 已 经 掌握 了 for 循环 语句 , 不 妨 做 些 更 酷 的 事情 ,比如 尝试 让 脚本 从 文本 中 自动 读 取 主 
机 列表 ， 然 后 自动 逐个 测试 这 些 主机 是 否 在 线 。 




















首先 创建 一 个 主机 列表 文件 ipadds.txt: 








[root@linuxprobe ~]# vim ipadds.txt 
192.168.10.10 
1925168;10.;11 
192.168.10.12 





然后 前 面 的 双 分 支 ff 条件 语句 与 for 循环 语句 相 结 合 ， 让 脚本 从 主机 列表 文件 ipadds.txt 
中 自动 读 取 IP 地 址 〈 用 来 表示 主机 ) 并 将 其 赋值 给 HLIST 变量 ， 从 而 通过 判断 ping 命令 执 


行 后 的 返回 值 来 逐个 测试 主机 是 否 在 线 。 脚 本 








中 出 现 的 $ (命令 ) 是 一 种 完全 类 似 于 第 3 章 的 








转 义 字符 中 反 引 号 ` 命 令 ` 的 Shel 操作 符 ， 效 果 同 样 是 执行 括号 或 双 引 号 括 起 来 的 字符 串 中 的 
命令 。 大 家 在 编写 脚本 时 ， 多 学 习 几 种 类 似 的 新 方法 ， 可 在 工作 中 大 显 身手 : 























[root@linuxprobe ~]# vim CheckHosts .sh 


#!/bin/bash 

HLIST=$ (cat ~/ipadds.txt) 
for IP in S$HLIST 

do 


ping -c 3 -i 0.2 -W 3 $IP &> /dev/null 


开赴 了 he 

echo "Host $IP is On-line." 

else 

echo "Host $IP is Off-line." 

FE 

done 

[root@linuxprobe ~]# ./CheckHosts.sh 
Host 192.168.10.10 is On-line. 

HosSt 192“ T681011 5 .0ff=]ine. 

Host 192.168.10.12 is Off-line. 





4.3.3 ”while 条 件 循环 语句 





while 条 件 循环 语句 是 一 种 让 脚本 根据 某 些 条 件 来 重复 执行 命令 的 语句 , 它 的 循环 结构 往 
往 在 执行 前 并 不 确定 最 终 执 行 的 次 数 ,完全 不 同 于 for 循环 语句 中 有 目标 .有 范围 的 使 用 场景 。 
while 循环 语句 通过 判断 条 件 测试 的 真 假 来 决定 是 否 继续 执行 命令 ， 若 条 件 为 真 就 继续 执行 ， 
为 假 就 结束 循环 。while 语句 的 语法 格式 如 图 4-21 所 示 。 
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4.3 ”流程 控制 语句 


while 未 猜 中 正确 价格 


while 条 件 测试 操作 
do io 
反复 猜测 商品 价格 





命令 序列 


a 











图 4-21 while 循环 语句 的 语法 格式 





接 下 来 结合 使 用 多 分 支 的 让 条 件 测试 语句 与 while 条 件 循 环 语句 ， 编 写 一 个 用 来 猜测 数值 大 
小 的 脚本 Guess.sh。 该 脚本 使 用 RANDOM 变量 来 调 取出 一 个 随机 的 数值 ( 范围 为 0 一 32767 )， 
将 这 个 随机 数 对 1000 进行 取 余 操作 , 并 使 用 expr 命令 取得 其 结果 , 再 用 这 个 数值 与 用 户 通过 read 
命令 输入 的 数值 进行 比较 判断 。 这 个 判断 语句 分 为 三 种 情况 , 分 别 是 判断 用 户 输入 的 数值 是 等 于 、 
大 于 还 是 小 于 使 用 expr 命令 取得 的 数值 。 当 前 ， 现 在 这 些 内 容 不 是 重点 ， 我 们 当前 要 关注 的 是 
while 条 件 循 环 语句 中 的 条 件 测试 始终 为 tue, 因此 判断 语句 会 无 限 执行 下 去 , 直到 用 户 输入 的 数 











值 等 于 expr 命令 取得 的 数值 后 ， 这 两 者 相等 之 后 才 运 行 exit 0 命令 ,终止 脚本 的 执行 。 











[root@linuxprobe ~]# vim Guess .sh 
#!/bin/bash 

PRICE=$ (expr S$RANDOM % 1000) 

TIMES=0 

echo "商品 实际 价格 为 0-999 之 间 ， 猜 猜 看 是 多 少 ? " 
while true 














do 
read -P "请 输入 您 猜测 的 价格 数目 : ”INT 











let TIMES++ 

if [ $INT -eq S$PRICE ] ; then 
echo "恭喜 您 答对 了 ， 实 际 价格 是 $SPRICE" 
echo "您 总 共 猜 测 了 $TIMES 次 " 
exit 0 

elif [STNT ot S$PRLCE; | .ie 
echo " 太 高 了 !" 

else 

echo " 太 低 了 ! " 

于 于 

Qone 

















在 这 个 Guess.sh 脚本 中 , 我 们 添加 了 一 些 交 互 式 的 信息 , 从 而 使 得 用 户 与 系统 的 互动 性 得 以 
增强 。 而 且 每 当 循环 到 let TIMES++ 命 令 时 都 会 让 TIMES 变量 内 的 数值 加 1， 用 来 统计 循环 总 计 


执行 了 多 少 次 。 这 可 以 让 用 户 得 知 总 共 猜 测 了 多 少 次 之 后 ， 才 猜 对 价格 。 








[root@linuxprobe ~]# bash Guess .sh 
商品 实际 价格 为 0-999 之 间 ， 猜 猜 看 是 多 少 ? 































































































请 输入 您 猜测 的 价格 数目 ，500 
太 低 了 1 
请 输入 您 猜测 的 价格 数目 ，800 
太 高 了 ! 
请 输入 您 猜测 的 价格 数目 ，650 
太 低 了 1 
请 输入 您 猜测 的 价格 数目 ，720 
太 高 了 ! 
请 输入 您 猜测 的 价格 数目 ，690 
太 低 了 1 
请 输入 您 猜测 的 价格 数目 ，700 
太 高 了 ! 
请 输入 您 猜测 的 价格 数目 ，695 
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太 高 了 ! 
请 输入 您 猪 测 的 价格 数目 : 692 
太 高 了 ! 
请 输入 您 猪 测 的 价格 数目 : 691 











恭喜 您 答对 了 ， 实 际 价格 是 691 
您 总 共 猜测 了 9 次 

















4.3.4 ”case 条 件 测 试 语句 

















如 果 您 之 前 学 习 过 CC 语言， 看 到 这 一 小 节 的 标题 肯定 会 会 心 一 笑 “ 这 不 就 是 switch 语句 
嘛 !” 是 的 ，case 条 件 测试 语句 和 switch 语句 的 功能 非常 相似 ! case 语句 是 在 多 个 范围 内 匹配 
数据 ， 若 匹配 成 功 则 执行 相关 命令 并 结束 整个 条 件 测试 ， 而 如 果 数 据 不 在 所 列 出 的 范围 内 ， 
则 会 去 执行 星 号 (* ) 中 所 定义 的 默认 命令 。case 语句 的 语法 结构 如 图 4-22 所 示 。 


case 变量 值 in 





case 输入 的 字符 in 


模式 1) [a-z] | [A-2]) 
命令 序列 1 提示 为 字母 。 
模式 1) [0-9]) 
令 序列 2 提示 为 数字 。 
”上 默认 命令 序列 提示 为 特殊 字符 


esa es 











~ 











图 4-22 case 条 件 测试 语句 的 语法 结构 


在 前 文 介绍 的 Guess.sh 脚本 中 有 一 个 致命 的 弱点 一 一 只 能 接受 数字 ! 您 可 以 尝试 输入 一 
个 字母 ， 会 发 现 脚 本 立即 就 骨 演 了 。 原 因 是 字母 无 法 与 数字 进行 大 小 比较 ,例如 ，“a 是 否 大 
于 等 于 3” 这 样 的 命题 是 完全 错误 的 。 我 们 必须 有 一 定 的 措施 来 判断 用 户 的 输入 内 容 ， 当 用 户 
输入 的 内 容 不 是 数字 时 ， 脚 本 能 予以 提示 ， 从 而 免 于 崩溃 。 

通过 在 脚本 中 组 合 使 用 case 条 件 测试 语句 和 通配符 ( 详 见 第 3 章 )， 完 全 可 以 满足 这 里 
的 需求 。 接 下 来 我 们 编写 脚本 Checkkeys.sh, 提示 用 户 输入 一 个 字符 并 将 其 赋值 给 变量 KEY， 
然后 根据 变量 KEY 的 值 向 用 户 显 示 其 值 是 字母 、 数 字 还 是 其 他 字符 。 



































root@linuxprobe ~]# vim Checkkeys.sh 
!/bin/bash 

read -P "请 输入 一 个 字符 ， 并 按 Enter 键 确认 : " KEY 
case "SKEY" in 

a-z] | [A-2]) 
echo "您 输入 的 是 字 
17 
0-9]) 
echo "您 输入 的 是 数字 。" 
17 
|) 
echo "您 输入 的 是 空格 、 功 能 键 或 其 他 控制 字符 。" 


esac 














册 























[root@linuxprobe ~]# bash Checkkeys . sh 
请 输入 一 个 字符 ， 并 按 Enter 键 确认 : 6 

您 输入 的 是 数字 。 

[root@linuxprobe ~]# bash Checkkeys . sh 
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请 输入 一 个 字符 ， 并 按 Enter 键 确认 : p 
您 输入 的 是 字母 。 
[root@linuxprobe ~]# bash Checkkeys . sh 
请 输入 一 个 字符 ， 并 按 Enter 键 确认 : ^[[15~ 
您 输入 的 是 空格 、 功 能 键 或 其 他 控制 字符 。 
































| 4.4 “计划 任务 服务 程序 




















经 验 丰富 的 系统 运 维 工 程 师 可 以 使 得 Linux 在 无 需 人 为 介入 的 情况 下 , 在 指定 的 时 间 段 自动 


启用 或 停止 某 些 服务 或 命令 ， 从 而 实现 运 维 的 自动 化 。 尽 管 我 们 现在 已 经 有 了 功能 彪 悍 的 脚本 程 
序 来 执行 一 些 批 处 理工 作 , 但 是 ， 如 果 仍 然 需 要 在 每 天 凌晨 两 点 敲 击 键 盘 回 车 键 来 执行 这 个 脚本 






































程序 ， 这 简直 大 痛苦 了 当然， 也 可 以 训练 您 的 小 猫 在 半夜 按 下 回 车 键 )。 接 下 来 ， 刘 选 老 师 将 
































向 大 家 讲解 如 何 设置 服务 器 的 计划 任务 服务 ， 把 周期 性 、 规 律 性 的 工作 交 给 系统 自动 完成 。 





计划 任务 分 为 一 次 性 计划 任务 与 长 期 性 计划 任务 ， 大 家 可 以 按照 如 下 方式 理解 。 

> 一 次 性 计划 任务 : 今 晚 11 点 30 分 开启 网 站 服务 。 

> 长 期 性 计划 任务 : 每 周一 的 凌晨 3 点 25 分 把 /home/wwwroot 目录 打包 备份 为 
backup.tar.gz。 

顾名思义 ， 一 次 性 计划 任务 只 执行 一 次 ， 一 般 用 于 满足 临时 的 工作 需求 。 我 们 可 以 用 at 


























命令 实现 这 种 功能 ， 只 需要 写成 “at 时 间 ” 的 形式 就 可 以 。 如 果 想 要 查看 已 设置 好 但 还 未 执 
行 的 一 次 性 计划 任务 ， 可 以 使 用 “at -1” 命 令 ; 要 想 将 其 删除 ， 可 以 用 “atrm 任务 序号 ”。 在 
使 用 at 命令 来 设置 一 次 性 计划 任务 时 ， 默 认 采 用 的 是 交互 式 方法 。 例 如 ， 使 用 下 述 命令 将 系 
统 设 置 为 在 今 晚 23:30 分 自动 重启 网 站 服务 。 

















[root@linuxprobe ~]# at 23:30 

at > Systemct1 restart httpd 

at > 此 处 请 同时 按 下 ctrl + D 组 合 键 来 结束 编写 计划 任务 
job 3 at Mon Apr 27 23:30:00 2017 
[root@linuxprobe ~]# at -1 

3 Mon Apr 27 23:30:00 2017 a root 


























如 果 读 者 想 挑 战 一 下 难度 更 大 但 简捷 性 更 高 的 方式 , 可 以 把 前 面 学 习 的 管道 符 (任意 门 ) 














放 到 两 条 命令 之 间 , 让 at 命令 接收 前 面 echo 命令 的 输出 信息 ,以 达到 通过 非 交 互 式 的 方式 创 
建 计划 一 次 性 任务 的 目的 。 














[root@linuxprobe ~]# echo "systemctl1 restart httpd" | at, .23%30 
job 4 at Mon Apr 27 23:30:00 2017 
[root@linuxprobe ~]# at -1 


3 Mon Apr 27 23:30:00 2017 a root 
4 Mon Apr 27 23:30:00 2017 a root 





如 果 我 们 不 小 心 设置 了 两 个 一 次 性 计划 任务 ， 可 以 使 用 下 面 的 命令 轻松 删除 其 中 一 个 : 











[root@linuxprobe ~]# atrm 3 
[root@linuxprobe ~]# at -1 
4 Mon Apr 27 23:30:00 2017 a root 











如 果 我 们 希望 Linux 系统 能 够 周期 性 地 、 有 规律 地 执行 茶 些 具体 的 任务 ， 那么 Linux 系统 























中 默认 启用 的 crond 服务 简直 再 适合 不 过 了 。 创 建 、 编 辑 计 划 任 务 的 命令 为 “crontab -e”， 查 看 
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当前 计划 任务 的 命令 为 “crontab -1”"， 人 删除 某 条 计划 任务 的 命令 为 “crontab -r”"。 男 外 ， 如 果 您 
是 以 管理 员 的 身份 登录 的 系统 ， 还 可 以 在 crontab 命令 中 加 上 -u 参数 来 编辑 他 人 的 计划 任务 。 

在 正式 部 署 计 划 任 务 前 ， 请 先 跟 刘 递 老师 念 一 下 口 识 “ 分 、 时 、 日 、 月 、 星 期 命令 ”。 
这 是 使 用 crond 服务 设置 任务 的 参数 格式 ( 其 格式 见 表 4-6 )。 需 要 注意 的 是 ， 如 果 有 些 字段 
没有 设置 ， 则 需要 使 用 星 号 〈* ) 占 位 ， 如 图 4-23 所 示 。 


分 钟 | | 小 时 日 月 | | 星期 


图 4-23 使 用 crond 设置 任务 的 参数 格式 



























































表 4-6 使 用 crond 设置 任务 的 参数 字段 说 明 
字段 说 明 

分 取 值 为 0 一 59 的 整数 

时 取 值 为 0~23 的 任意 整数 

日 取 值 为 1~31 的 任意 整数 

月 取 值 为 1 一 12 的 任意 整数 

星期 取 值 为 0~7 的 任意 整数 ， 其 中 0 与 7 均 为 星期 日 
命令 要 执行 的 命令 或 程序 脚本 











假设 在 每 周一 、 三 、 五 的 凌晨 3 点 25 分 ， 都 需要 使 用 tar 命令 把 某 个 网 站 的 数据 目录 进 
行 打包 处 理 , 使 其 作为 一 个 备份 文件 。 我 们 可 以 使 用 crontab -e 命令 来 创建 计划 任务 。 为 自己 
创建 计划 任务 无 需 使 用 -u 参数 ， 具 体 的 实现 效果 的 参数 如 crontab -1 命令 结果 所 示 : 


[root@linuxprobe ~]# crontab -e 











no crontab for root - using an empty one 

crontab: installing new crontab 

[root@linuxprobe ~]# crontab -1 

25 3 * * 1,3,5 /usr/bin/tar -czvf backup.tar.gz /home/wwwroot 








需要 说 明 的 是 ,除了 用 逗号 〈, ) 来 分 别 表示 多 个 时 间 段 ， 例 如 “8,9,12” 表 示 8 月 、9 月 
和 12 月 。 还 可 以 用 减 号 (- ) 来 表示 一 段 连续 的 时 间 周 期 (例如 字段 “日 ”的 取 值 为 “12-15”， 
则 表示 每 月 的 12 一 15 日 )。 以 及 用 除 号 (/) 表示 执行 任务 的 间隔 时 间 (例如 “/2” 表 示 每 隔 
2 分 钟 执行 一 次 任务 ) 之 外 。 

如 果 在 crond 服务 中 需要 同时 包含 多 条 计划 任务 的 命令 语句 ， 应 每 行 仅 写 一 条 。 例 如 我 们 再 
添加 一 条 计划 任务 ， 它 的 功能 是 每 周一 至 周 五 的 凌晨 1 点 钟 自动 清空 /mp 目录 内 的 所 有 文件 。 万 
其 需要 注意 的 是 ， 在 crond 服务 的 计划 任务 参数 中 ， 所 有 命令 一 定 要 用 绝对 路 径 的 方式 来 写 ， 如 
果 不 知道 绝对 路 径 ， 请 用 whereis 命令 进行 查询 ，rm 命令 路 径 为 下 面 输出 信息 中 加 粗 部 分 。 




































































[root@linuxprobe ~]# whereis rm 

rm: /usr/bin/rm /usr/share/man/manl/rm.1.gz /usr/share/man/manlp/rm.1p.gz 
[root@linuxprobe ~]# crontab -e 

crontab: installing new crontab 

[root@linuxprobe ~]# crontab -1 

25 3 * * 1,3,5 /usr/bin/tar -czvf backup.tar.gz /home/wwwroot 

0 1 * * 1-5 /usr/bin/rm -rf /tmp/* 
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在 本 节 最 后 ， 刘 选 老师 再 来 嘿 呆 几 人 句 在 工作 中 使 用 计划 服务 的 注意 事项 。 

> 在 crond 服务 的 配置 参数 中 , 可 以 像 Shell 脚本 那样 以 # 号 开头 写 上 注释 信息 , 这 样 
在 日 后 回顾 这 段 命令 代码 时 可 以 快速 了 解 其 功能 、 需 求 以 及 编写 人 员 等 重要 信息 。 

> 计划 任务 中 的 “分 ”字段 必须 有 数值 ， 绝 对 不 能 为 空 或 是 * 号 ， 而 “日 ”和 “星期 ” 
字段 不 能 同时 使 用 ， 和 否则 就 会 发 生 冲 突 。 

最 后 青 哆 哑 一 句 , 想必 读者 也 已 经 发 现 了 , 诸如 crond 在 内 的 很 多 服务 默认 调用 的 是 Vim 





















































编辑 器 ， 相 信 大 家 现在 能 进一步 体会 到 在 Linux 系统 中 掌握 Vim 文本 编辑 器 的 好 处 了 吧 。 所 
以 请 大 家 一 定 要 在 彻底 掌握 Vim 编码 器 之 后 再 学 习 下 一 章 。 























| 复习 题 





1. 


Vim 编辑 器 的 三 种 模式 分 别 是 什么 ? 
答 : 命令 模式 、 末 行 模式 与 输入 模式 〈 也 叫 编辑 模式 或 插入 模式 )。 
































怎么 从 输入 模式 切换 到 末 行 模式 ? 
答 : 需要 先 敲 击 Esc 键 退回 到 命令 模式 ,然后 斋 击 冒号 (: ) 键 后 进入 末 行 模式 。 








.一 个 完整 的 Shell 脚本 应 该 哪些 内 容 ? 





答 : 应 该 包括 脚本 声明 、 注 释 信 息 和 可 执行 语句 〈 即 命令 )。 





.分 别 解释 Shell 脚本 中 $0 与 $3 变量 的 作用 。 


答 : 在 Shell 脚本 中 ，$0 代表 脚本 文件 的 名 称 ，$3 则 代表 该 脚本 在 执行 时 接收 的 第 三 
个 参数 。 





. 让 条 件 测 试 语句 有 几 种 结构 ， 最 灵活 且 最 复杂 的 是 哪 种 结构 ? 

















答 : 让 条 件 测试 语句 包括 单 分 支 、 双 分 支 与 多 分 支 等 三 种 结构 ， 其 中 多 分 支 结 构 是 最 灵活 
旦 最 复杂 的 结构 ， 其 结构 形式 为 if...then...elif...then.. .else...fi。 





.for 条 件 循环 语句 的 循环 结构 是 什么 样子 的 ? 





答 : for 条 件 循环 语句 的 结构 为 “for 变量 名 in 取 值 列表 do 命令 序列 done”， 如 图 4-20 所 示 。 





. 若 在 while 条 件 循环 语句 中 使 用 true 作为 循环 条 件 ， 那 么 会 发 生 什么 事情 ? 





答 : 因 条 件 测试 值 永久 为 tue, 因此 脚本 中 循环 部 分 会 无 限 地 重复 执行 下 去 , 直到 碰 到 exit 


命令 才 会 结束 。 























如 果 需 要 依据 用 户 的 输入 参数 执行 不 同 的 操作 ， 最 方便 的 条 件 测试 语句 是 什么 ? 


答 : case 条 件 语句 。 


.Linux 系统 的 长 期 计划 任务 所 使 用 的 服务 是 什么 ， 其 参数 格式 是 什么 ? 


























答 : 长 期 计划 任务 需要 使 用 crond 服务 程序 , 参数 格式 是 “分 、 时 、 日、 月 、 星 期 命令 ”。 
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第 5 章 | 


用 户 身份 与 文件 权限 


本 章 讲解 了 如 下 内 容 : 


用 户 身份 与 能 力 ; 
文件 权限 与 归属 ; 
文件 的 特殊 权限 ; 
文件 的 隐藏 权 限 ; 
文件 访问 控制 列表 ; 


Su 命令 与 sudo 服务 。 


VV vv vyvyYv 








Linux 是 一 个 多 用 户 、 多 任务 的 操作 系统 ,具有 很 好 的 稳定 性 与 安全 性 , 在 幕后 保障 Linux 
系统 安全 的 则 是 一 系列 复杂 的 配置 工作 。 本 章 将 详细 讲解 文件 的 所 有 者 、 所 属 组 以 及 其 他 人 
可 对 文件 进行 的 读 (r)、 写 (w )、 执 行 (x ) 等 操作 ， 以 及 如 何在 Linux 系统 中 添加 、 删 除 、 
修改 用 户 账户 信息 。 我 们 还 可 以 使 用 SUID、SGID 与 SBIT 特殊 权限 更 加 灵活 地 设置 系统 权 
限 功能 ， 来 弥补 对 文件 设置 一 般 操 作 权限 时 所 带 来 的 不 足 。 隐 藏 权限 能 够 给 系统 增加 一 层 隐 
形 的 防护 层 ， 让 黑客 最 多 只 能 查看 关键 日 志 信息 ， 而 不 能 进行 修改 或 删除 。 而 文件 的 访问 控 
制 列 表 ( Access Control List，ACL ) 可 以 进一步 让 单一 用 户 、 用 户 组 对 单一 文件 或 目录 进行 
特殊 的 权限 设置 ， 让 文件 具有 能 满足 工作 需求 的 最 小 权限 。 本 章 最 后 还 将 讲解 如 何 使 用 su 命 
令 与 sudo 服务 让 普通 用 户 具备 管理 员 的 权限 ， 不 仅 可 以 满足 日 常 的 工作 需求 ， 还 可 以 确保 系 
统 的 安全 性 。 


5.1 用 户 身份 与 能 力 



















































































设计 Linux 系统 的 初 囊 之 一 就 是 为 了 满足 多 个 用 户 同 时 工作 的 需求 ， 因 此 Linux 系统 必 
须 具备 很 好 的 安全 性 。 第 1 章 在 安装 RHEL 7 操作 系统 时 ， 特 别 要 求 设置 root 管理 员 密 码 ， 
这 个 root 管理 员 就 是 存在 于 所 有 类 UNIX 系统 中 的 超级 用 户 。 它 拥有 最 高 的 系统 所 有 权 ， 
够 管理 系统 的 各 项 功能 ， 如 添加 /删除 用 户 、 启 动 /关闭 服务 进程 、 开 启 /禁用 人 硬件 设备 等 。 
然 以 root 管理 员 的 身份 工作 时 不 会 受到 系统 的 限制 ,但 俗语 讲 “ 能 力 越 大 ,责任 就 越 大 ”， 
此 一 旦 使 用 这 个 高 能 的 root 管理 员 权限 执行 了 错误 的 命令 可 能 会 直接 毁 掉 整个 系统 。 使 用 握 
否 ， 确 实 需要 好 好 权衡 一 下 。 

在 学 习 时 是 否 要 使 用 root 管理 员 权 限 来 控制 整个 系统 呢 ? 面 对 这 个 问题 ,网 络 上 有 很 多 文章 
建议 以 普通 用 户 的 身份 来 操作 一 一 这 是 一 个 更 安全 也 更 “无 责任 ”的 回答 。 今 天 ， 刘 六 老师 就 要 
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5.1 用 户 身份 与 能 力 











冒 天 下 之 大 不 态 给 出 自己 的 心得 一 一 强烈 推荐 大 家 在 学 习 时 使 用 root 管理 员 权限 ! 

这 种 为 root 管理 员 正 名 的 决绝 态度 在 网 络 中 应 该 还 是 很 少见 的 ,我 之 所 以 力荐 root 管理 
员 权 限 ， 原 因 很 简单 。 因 为 在 Linux 的 学 习 过 程 中 如 果 使 用 普通 用 户 身 份 进行 操作 ， 则 在 配 
置 服务 之 后 出 现 错误 时 很 难 判断 是 系统 自身 的 问题 还 是 因为 权限 不 足 而 导致 的 ; 这 无 疑 会 给 
大 家 的 学 习 过 程 徒 增 坎坷 。 更 何况 我 们 的 实验 环境 是 使 用 VMware 虚拟 机 软件 搭建 的 ， 可 以 
将 安装 好 的 系统 设置 为 一 次 快照 ， 这 即便 系统 彻底 崩 演 了 ， 您 也 可 以 在 5 秒 钟 的 时 间 内 快速 
还 原 出 一 台 全 新 的 系统 ， 而 不 用 担心 数据 丢失 。 

总 之 ， 刘 选 老师 在 培训 时 都 推荐 每 位 学 生 使 用 root 管理 员 权 限 来 学 习 Linux 系统 ， 等 到 
工作 时 再 根据 生产 环境 决定 使 用 哪个 用 户 权 限 ; 这 些 仅 与 选择 相关 ， 而 非 技术 性 问题 。 

另外 , 很 多 图 书 或 培训 机 构 的 老师 会 讲 到 ，Linux 系统 中 的 管理 员 就 是 root。 这 其 实 是 错 
误 的 ，Linux 系统 的 管理 员 之 所 以 是 root， 并 不 是 因为 它 的 名 字 叫 root， 而 是 因为 该 用 户 的 身 
份 号 码 即 UID (User IDentification ) 的 数值 为 0。 在 Linux 系统 中 ，UID 就 相当 于 我 们 的 身份 
证 号 码 一 样 具有 唯一 性 ， 因 此 可 通过 用 户 的 UID 值 来 判断 用 户 身份 。 在 RHEL 7 系统 中 ， 用 
户 身份 有 下 面 这些 。 

> 管理 员 UID 为 0: 系统 的 管理 员 用 户 。 

> 系统 用 户 UID 为 1 一 999: ”Linux 系统 为 了 避免 因 某 个 服务 程序 出 现 漏洞 而 被 黑客 提 

权 至 整 台 服 务 器 ,默认 服务 程序 会 有 独立 的 系统 用 户 负 责 运行 , 进而 有 效 控制 被 破坏 
范围 。 

> 普通 用 户 UID 从 1000 开始 : 是 由 管理 员 创 建 的 用 于 日 常 工作 的 用 户 。 

需要 注意 的 是 ，UID 是 不 能 冲突 的 ， 而 且 管 理 员 创建 的 普通 用 户 的 UID 默认 是 从 1000 
开始 的 ( 即使 前 面 有 闲置 的 号 码 )。 

为 了 方便 管理 属于 同一 组 的 用 户 ，Linux 系统 中 还 引入 了 用 户 组 的 概念 。 通 过 使 用 用 
户 组 号 码 (GID，Group IDentification )， 我 们 可 以 把 多 个 用 户 加 入 到 同一 个 组 中 ， 从 而 方 
便 为 组 中 的 用 户 统一 规划 权限 或 指定 任务 。 假设 有 一 个 公司 中 有 多 个 部 门 , 每 个 部 门 中 又 
有 很 多 员工 。 如 果 只 想 让 员工 访问 本 部 门 内 的 资源 , 则 可 以 针对 部 门 而 非 具 体 的 员工 来 设 
置 权限 。 例如， 可 以 通过 对 技术 部 门 设置 权限 , 使 得 只 有 技术 部 门 的 员工 可 以 访问 公司 的 
数据 库 信息 等 。 

另外 , 在 Linux 系统 中 创建 每 个 用 户 时 ,将 自动 创建 一 个 与 其 同名 的 基本 用 户 组 ， 而 且 
这 个 基本 用 户 组 只 有 该 用 户 一 个 人 。 如 果 该 用 户 以 后 被 归纳 入 其 他 用 户 组 ， 则 这 个 其 他 用 户 
组 称 之 为 扩展 用 户 组 。 一 个 用 户 只 有 一 个 基本 用 户 组 ,但 是 可 以 有 多 个 扩展 用 户 组 ， 从 而 满 
足 日 常 的 工作 需要 。 









































































































































































































































5.1.1 useradd 命令 





useradd 命令 用 于 创建 新 的 用 户 ， 格 式 为 “useradd [选项 ] 用 户 名 ”。 

可 以 使 用 useradd 命令 创建 用 户 账户 。 使 用 该 命令 创建 用 户 账户 时 , 默认 的 用 户 家 目录 会 
被 存放 在 /home 目录 中 ， 上 默认 的 Shell 解释 器 为 /bin/bash， 而 且 默 认 会 创建 一 个 与 该 用 户 同 名 
的 基本 用 户 组 。 这 些 默 认 设置 可 以 根据 表 5-1 中 的 useradd 命令 参数 自行 修改 。 
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表 5-1 useradd 命令 中 的 用 户 参数 以 及 作用 
参数 作用 

-qd 指定 用 户 的 家 目录 (默认 为 /home/username ) 
-e 账户 的 到 期 时 间 ， 格 式 为 YYYYMM-DD. 
了 指定 该 用 户 的 默认 UID 
-g 指定 一 个 初始 的 用 户 基本 组 ( 必须 已 存在 ) 
-G 指定 一 个 或 多 个 扩展 用 户 组 
-N 不 创建 与 用 户 同 名 的 基本 用 户 组 
-Ss 指定 该 用 户 的 默认 Shell 解释 器 


























下 面 我 们 创建 一 个 普通 用 户 并 指定 家 目录 的 路 径 、 用 户 的 UID 以 及 Shell 解释 器 。 在 下 
面 的 命令 中 ， 请 注意 /sbin/nologin， 它 是 终端 解释 器 中 的 一 员 ， 与 Bash 解释 器 有 着 天 壤 之 别 。 
旦 用 户 的 解释 器 被 设置 为 nologin， 则 代表 该 用 户 不 能 登录 到 系统 中 : 
































[root@linuxprobe ~]# useradd -d /home/linux -u 8888 -s /sbin/nologin linuxprobe 
[root@linuxprobe ~]# id linuxprobe 
uid=8888 (linuxprobe) gid=8888 (linuxprobe) groups=8888 (linuxprobe) 





5.1.2 groupadd 命令 














groupadd 命令 用 于 创建 用 户 组 ， 格 式 为 “groupadd [选项 ] 群 组 名 ”。 

为 了 能 够 更 加 高 效 地 指派 系统 中 各 个 用 户 的 权限 ， 在 工作 中 常常 会 把 几 个 用 户 加 入 到 同 
一 个 组 里 面 ， 这 样 便 可 以 针对 一 类 用 户 统一 安排 权限 。 创 建 用 户 组 的 步骤 非常 简单 ， 例 如 使 
用 如 下 命令 创建 一 个 用 户 组 ronny: 

















[root@linuxprobe ~]# groupadd ronny 





5.1.3 usermod 命令 





usermod 命令 用 于 修改 用 户 的 属性 ， 格 式 为 “usermod [选项 ] 用 户 名 ”。 

前 文 曾 反 复 强 调 ，Linux 系统 中 的 一 切 都 是 文件 ， 因 此 在 系统 中 创建 用 户 也 就 是 修改 配 
置 文 件 的 过 程 。 用 户 的 信息 保存 在 /etc/passwd 文件 中 ， 可 以 直接 用 文本 编辑 器 来 修改 其 中 的 
用 户 参 数 项 目 ， 也 可 以 用 usermod 命令 修改 已 经 创建 的 用 户 信息 ， 诸 如 用 户 的 UID、 基 本 / 扩 
展 用 户 组 、 默 认 终 端 等 。usermod 命令 的 参数 以 及 作用 如 表 5-2 所 示 。 



































































































































表 5-2 usermod 命令 中 的 参数 及 作用 
参数 作用 
填写 用 户 账户 的 备注 信息 
-d 一 mm 参数 -m 与 参数 -d 连用 ， 可 重新 指定 用 户 的 家 目录 并 自动 把 旧 的 数据 转移 过 去 
-e 账户 的 到 期 时 间 ， 格 式 为 YYYYMM-DD 
-9 变更 所 属 用 户 组 
-G 变更 扩展 用 户 组 
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续 表 
参数 作用 
-L 锁定 用 户 禁止 其 登录 系统 
-U 解锁 用 户 ， 人 允许 其 登录 系统 
-s 变更 默认 终端 
-u 修改 用 户 的 UID 











大 家 不 要 被 这 么 多 参数 吓 坏 了 。 我 们 先 来 看 一 下 账户 linuxprobe 的 默认 信息 : 








[root@linuxprobe ~]# id linuxprobe 
uid=1000 (linuxprobe) gid=1000 (linuxprobe) groups=1000 (linuxprobe) 











然后 将 用 户 linuxprobe 加 入 到 root 用 户 组 中 ， 这 样 扩展 组 列表 中 则 会 出 现 root 用 户 组 的 
字样 ， 而 基本 组 不 会 受到 影响 : 








[root@linuxprobe ~]# usermod -G root linuxprobe 
[root@linuxprobe ~]# id linuxprobe 
uid=1000 (linuxprobe) gid=1000 (linuxprobe) groups=1000 (linuxprobe),0 (root) 





再 来 试 试用 -u 参数 修改 linuxprobe 用 户 的 UID 号 码 值 。 除 此 之 外 , 我 们 还 可 以 用 -g 参数 
修改 用 户 的 基本 组 ID ， 用 -G 参数 修改 用 户 扩展 组 ID。 














[root@linuxprobe ~]# usermod -u 8888 linuxprobe 
[root@linuxprobe ~]# id linuxprobe 
uid=8888 (linuxprobe) gid=1000 (linuxprobe) groups=1000 (linuxprobe),0 (root) 





5.1.4 passwd 命令 


passwd 命令 用 于 修改 用 户 密 码 、 过 期 时 间 、 认 证 信息 等 ,格式 为 “passwd [选项 ] [用 户 名 ]”。 

普通 用 户 只 能 使 用 passwd 命令 修改 自身 的 系统 密码 , 而 root 管理 员 则 有 权限 修改 其 他 所 
有 人 的 密码 。 更 酷 的 是 , root 管理 员 在 Linux 系统 中 修改 自己 或 他 人 的 密码 时 不 需要 验证 旧 密 
码 ， 这 一 点 特别 方便 。 既 然 root 管理 员 可 以 修改 其 他 用 户 的 密码 ， 就 表示 完全 拥有 该 用 户 的 
管理 权限 。passwd 命令 中 可 用 的 参数 以 及 作用 如 表 5-3 所 示 。 





































































































表 5-3 passwd 命令 中 的 参数 以 及 作用 
参数 作用 
-1 锁定 用 户 ， 禁 止 其 登录 
-ua 解除 锁定 ， 人 允许 用 户 登 录 
—-—-stdin 人 允许 通过 标准 输入 修改 用 户 密码 ,如 echo "NewPassWord" | passwd --stdin Username 
-qd 使 该 用 户 可 用 空 密码 登录 系统 
-e 强制 用 户 在 下 次 登录 时 修改 密码 
-S 显示 用 户 的 密码 是 否 被 锁定 ， 以 及 密码 所 采用 的 加 密 算 法 名 称 












































接 下 来 刘 雍 老师 将 演示 如 何 修 改 用 户 自己 的 密码 ， 以 及 如 何 修 改 其 他 人 的 密码 ( 修改 他 
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人 密码 时 ， 需 要 具有 root 管理 员 权限 ): 





[root@linuxprobe ~]# passwd 

Changing password for user root. 

New password: 此 处 输入 密码 值 

Retype new password: 再 次 输入 进行 确认 

passwd: all _ authentication tokens updated successfully. 
[root@linuxprobe ~]# passwd linuxprobe 

Changing password for user linuxprobe. 

New password: 此 处 输入 密码 值 

Retype new password: 再 次 输入 进行 确认 

passwd: all _ authentication tokens updated successfully. 











假设 您 有 位 同事 正在 度假 ， 而 且 假期 很 长 ， 那 么 可 以 使 用 passwd 命令 禁止 该 用 户 登 


























录 系 统 , 等 假期 结束 回归 工作 岗位 时 , 再 使 用 该 命令 允许 用 户 登 录 系 统 , 而 不 是 将 其 删除 。 
这 样 既 保证 了 这 段 时 间 内 系统 的 安全 ， 也 避免 了 频繁 添加 、 删 除 用 户 带 来 的 麻烦 : 











root@linuxprobe ~]# passwd -1 linuxprobe 
Locking password for user linuxprobe. 
passwd: Success 
root@linuxprobe ~]# passwd -S linuxprobe 

linuxprobe LK 2017-12-26 0 99999 7 -1 (Password locked.) 
root@linuxprobe ~]# passwd -u linuxprobe 

Unlocking password for user linuxprobe. 

passwd: Success 








root@linuxprobe ~]# passwd -S linuxprobe 
linuxprobe PS 2017-12-26 0 99999 7 -1 (Password set, SHA512 crypt.) 





5.1.5 Userdel 命令 








userdel 命令 用 于 删除 用 户 ， 格 式 为 “userdel [选项 ] 用 户 名 ”。 
如 果 我 们 确认 某 位 用 户 后 续 不 再 会 登录 到 系统 中 , 则 可 以 通过 userdel 命令 删除 该 用 户 的 














所 有 信息 。 在 执行 删除 操作 时 ， 该 用 户 的 家 目录 默认 会 保留 下 来 ， 此 时 可 以 使 用 -r 参数 将 其 
删除 。userdel 命令 的 参与 以 及 作用 如 表 5-4 所 示 。 





























表 5-4 userdel 命令 的 参数 以 及 作用 
参数 作用 
-f£ 强制 删除 用 户 
区 同时 删除 用 户 及 用 户 家 目录 























下 面 使 用 userdel 命令 将 linuxprobe 用 户 删除 ， 其 操作 如 下 : 





[root@linuxprobe ~]# id linuxprobe 

uid=8888 (linuxprobe) gid=1000 (linuxprobe) groups=1000 (linuxprobe),0 (root) 
[root@linuxprobe ~]# userdel -r linuxprobe 

[root@linuxprobe ~]# id linuxprobe 


id: linuxprobe: no such user 
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| 5.2 文件 权限 与 归属 




















尽管 在 Linux 系统 中 一 切 都 是 文件 ， 但 是 每 个 文件 的 类 型 不 尽 相 同 ， 因 此 Linux 系统 使 
用 了 不 同 的 字符 来 加 以 区 分 ， 常 见 的 字符 如 下 所 示 。 

> -: 普通 文件 。 
d: 目录 文件 。 
1: 链接 文件 。 
b: 块 设备 文件 。 
c: 字符 设备 文件 。 

> p: 管道 文件 。 

在 Linux 系统 中 ， 每 个 文件 都 有 所 属 的 所 有 者 和 所 有 组 ， 并 且 规 定 了 文件 的 所 有 者 、 
所 有 组 以 及 其 他 人 对 文件 所 拥有 的 可 读 (r)、 可 写 (w )、 可 执行 (x ) 等 权限 。 对 于 一 般 
文件 来 说 ， 权限 比较 容易 理解 :“ 可 读 ” 表 示 能 够 读 取 文件 的 实际 内 容 ;“ 可 写 ” 表 示 能 够 
编辑 、 新 增 、 修 改 、 删 除 文件 的 实际 内 容 ;“ 可 执行 ” 则 表示 能 够 运行 一 个 脚本 程序 。 但 
是 ， 对 于 目录 文件 来 说 ， 理 解 其 权限 设置 来 就 不 那么 容易 了 。 很 多 资深 Linux 用 户 其 实 也 
没有 真正 搞 明 白 。 

刘 邀 老师 在 这 里 给 大 家 详细 讲解 一 下 目录 文件 的 权限 设置 。 对 目录 文件 来 说 ,“ 可 读 ” 表 
示 能 够 读 取 目 录 内 的 文件 列表 ;“ 可 写 ” 表 示 能 够 在 目录 内 新 增 、 删 除 、 重 命名 文件 ; 而 “可 
执行 ” 则 表示 能 够 进入 该 目录 。 

文件 的 读 、 写 、 执 行 权 限 可 以 简写 为 rwx， 亦 可 分 别 用 数字 4、2、1 来 表示 ， 文 件 所 有 
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者 ， 所 属 组 及 其 他 用 户 权限 之 间 无 关联 ， 如 表 5-5 所 示 。 
表 5-5 文件 权限 的 字符 与 数字 表示 
权限 分 配 文件 所 有 者 文件 所 属 组 其 他 用 户 
权限 项 读 写 执行 读 写 执行 读 写 执行 
字符 表示 | r Ww x r Ww x w x 
数字 表示 | 4 2 1 4 2 1 4 2 1 
































文件 权限 的 数字 法 表示 基于 字符 表示 (rwx ) 的 权限 计算 而 来 , 其 目的 是 简化 权限 的 表示 。 
例如 ,， 若 某 个 文件 的 权限 为 7 则 代表 可 读 、 可 写 、 可 执行 ( 4+2+1 ); 若 权限 为 6 则 代表 可 读 、 
可 写 (4+2 )。 我 们 来 看 这 样 一 个 例子 。 现 在 有 这 样 一 个 文件 ， 其 所 有 者 拥有 可 读 、 可 写 、 可 
执行 的 权限 ， 其 文件 所 属 组 拥有 可 读 、 可 写 的 权限 ; 而 且 其 他 人 只 有 可 读 的 权限 。 那 么 ， 这 
个 文件 的 权限 就 是 rwxrw-r--， 数 字 法 表示 即 为 764。 不 过 大 家 千 万 再 将 这 三 个 数字 相 加 ， 计 
算出 7+6+4=17 的 结果 , 这 是 小 学 的 数学 加 减法 , 不 是 Linux 系统 的 权限 数字 表示 法 ,三 者 之 
间 没 有 互通 关系 。 

Linux 系统 的 文件 权限 相当 复杂 ， 但 是 用 途 很 广泛 ， 建 议 大 家 把 它 彻 底 搞 清楚 之 后 再 学 
习 下 一 节 的 内 容 。 现 在 来 练习 一 下 。 请 各 位 读者 分 别 计算 数字 表示 法 764、642、153 、731 所 
对 应 的 字符 表示 法 ， 然 后 再 把 rwxrw-r--、Tw--w--Wx、Tw-T-T-- 转 换 成 数字 表示 法 。 

下 面 我 们 利用 上 文 讲 解 的 知识 ， 一 起 分 析 图 5-1 中 所 示 的 文件 信息 。 
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f [root@linuxprobe~]# Is -| install.log 
| -rw-r-T- 1 root root 34298 04-02 00:23 install.log 
文件 类 型 访问 权限 ， 属 主 " 属 组 
图 5-1 通过 ls 命令 查看 到 的 文件 属性 信息 
在 图 5-1 中 ,包含 了 文件 的 类 型 、 访 问 权 限 、 所 有 者 〈 属 主 )、 所 属 组 〈 属 组 )、 占 用 的 
磁盘 大 小 、 修 改 时 间 和 文件 名 称 等 信息 。 通 过 分 析 可 知 ， 该 文件 的 类 型 为 普通 文件 ， 所 有 者 
权限 为 可 读 、 可 写 (rw- ), 所 属 组 权限 为 可 读 (r-- ), 除 此 以 外 的 其 他 人 也 只 有 可 读 权 限 (r- )， 
文件 的 磁盘 占用 大 小 是 34298 字 节 , 最 近 一 次 的 修改 时 间 为 4 月 2 日 的 凌晨 23 分 , 文件 的 名 
称 为 install.log。 


| 5.3 文件 的 特殊 权限 




































































在 复杂 多 变 的 生产 环境 中 ， 单 纯 设置 文件 的 rwx 权限 无 法 满足 我 们 对 安全 和 灵活 性 的 需 
求 ， 因 此 便 有 了 SUID、SGID 与 SBIT 的 特殊 权限 位 。 这 是 一 种 对 文件 权限 进行 设置 的 特殊 
功能 ， 可 以 与 一 般 权限 同时 使 用 ， 以 弥补 一 般 权限 不 能 实现 的 功能 。 下 面具 体 解释 这 3 个 特 
殊 权限 位 的 功能 以 及 用 法 。 








5.3.1 SUID 

















SUID 是 一 种 对 二 进 制程 序 进 行 设置 的 特殊 权限 ,可 以 让 二 进 制 程序 的 执行 者 临时 拥有 属 
主 的 权限 ( 仅 对 拥有 执行 权限 的 二 进 制程 序 有 效 )。 例如， 所 有 用 户 都 可 以 执行 passwd 命令 
来 修改 自己 的 用 户 密码 ， 而 用 户 密码 保存 在 /etc/shadow 文件 中 。 仔 细 查 看 这 个 文件 就 会 发 现 
它 的 默认 权限 是 000， 也 就 是 说 除了 root 管理 员 以 外 ， 所 有 用 户 都 没有 查看 或 编辑 该 文件 的 
权限 。 但 是 ， 在 使 用 passwd 命令 时 如 果 加 上 SUID 特殊 权限 位 ， 就 可 让 普通 用 户 临 时 获得 程 
序 所 有 者 的 身份 , 把 变更 的 密码 信息 写 入 到 shadow 文件 中 。 这 很 像 我 们 在 古装 剧 中 见 到 的 手 
持 尚方 宝剑 的 钦差 大 臣 ， 他 手持 的 尚方 宝剑 代表 的 是 皇上 的 权威 ， 因 此 可 以 惩戒 贪官 ， 但 这 
并 不 意味 着 他 永久 成 为 了 皇上 。 因 此 这 只 是 一 种 有 条 件 的 、 临 时 的 特殊 权限 授权 方法 。 

查看 passwd 命令 属性 时 发 现 所 有 者 的 权限 由 rwx 变 成 了 rws， 其 中 x 改变 成 s 就 意味 着 
该 文件 被 赋予 了 SUID 权限 。 男 外 有 读者 会 好 奇 ， 那么 如 果 原 本 的 权限 是 rw- 呢 ? 如 果 原 先 权 
限 位 上 没有 x 执行 权限 ， 那 么 被 赋予 特殊 权限 后 将 变 成 大 写 的 5。 
















































































[root@linuxprobe ~]# ls -1 /etc/shadow 

一 一 一 一 一 一 一 一 一 一 . 1 root root 1004 Jan 3 06:23 /etc/shadow 
[root@linuxprobe ~]# ls -1 /bin/passwd 

—rwsr-xr-x. 1 root root 27832 Jan 29 2017 /bin/passwd 





5.3.2 SGID 
SGID 主要 实现 如 下 两 种 功能 : 
> 让 执行 者 临时 拥有 属 组 的 权限 ( 对 拥有 执行 权限 的 二 进 制程 序 进行 设置 ); 
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> 在 某 个 目录 中 创建 的 文件 自动 继承 该 目录 的 用 户 组 ( 只 可 以 对 目录 进行 设置 )。 
































SGID 的 第 一 种 功能 是 参考 SUID 而 设计 的 , 不 同 点 在 于 执行 程序 的 用 户 获取 的 不 再 是 文 
件 所 有 者 的 临时 权限 ， 而 是 获取 到 文件 所 属 组 的 权限 。 举 例 来 说 ， 在 早期 的 Linux 系统 中 ， 























/dev/kmem 是 一 个 字符 设备 文件 ， 用 于 存储 内 核 程序 要 访问 的 数据 ， 权 限 为 : 


CI 一 一 工 一 一 一 一 一 1 root System 2, 1 Feb 11 2017 kmem 














大 家 看 出 问题 了 吗 ? 除了 root 管理 员 或 属于 system 组 成 员外 ,所 有 用 户 都 没有 读 取 该 文件 
的 权限 。 由 于 在 平时 我 们 需要 查看 系统 的 进程 状态 ， 为 了 能 够 获取 到 进程 的 状态 信息 ， 可 在 用 
于 查看 系统 进程 状态 的 ps 命令 文件 上 增加 SGID 特殊 权限 位 。 查 看 ps 命令 文件 的 属性 信息 : 


ie oid de 1 bin system 59346 Feb 11 2017 ps 


这 样 一 来 ， 由 于 ps 命令 被 增加 了 SGID 特殊 权限 位 ， 所 以 当 用 户 执行 该 命令 时 ， 也 就 临 
时 获取 到 了 system 用 户 组 的 权限 ， 从 而 可 以 顺利 地 读 取 设备 文件 了 。 

前 文 提 到 ， 每 个 文件 都 有 其 归属 的 所 有 者 和 所 属 组 ， 当 创建 或 传送 一 个 文件 后 ， 这 个 文 
件 就 会 自动 归属 于 执行 这 个 操作 的 用 户 〈 即 该 用 户 是 文件 的 所 有 者 )。 如 果 现 在 需要 在 一 个 音 
门 内 设置 共享 目录 ， 让 部 门 内 的 所 有 人 员 都 能 够 读 取 目录 中 的 内 容 ， 那 么 就 可 以 创建 部 门 共 
享 目录 后 ， 在 该 目录 上 设置 SGID 特殊 权限 位 。 这 样 ， 部 门 内 的 任何 人 员 在 里 面 创 建 的 任何 
文件 都 会 归属 于 该 目录 的 所 属 组 ， 而 不 再 是 自己 的 基本 用 户 组 。 此 时 ,我 们 用 到 的 就 是 SGID 
的 第 二 个 功能 ， 即 在 某 个 目录 中 创建 的 文件 自动 继承 该 目录 的 用 户 组 ( 只 可 以 对 目录 进行 设 
置 )。 


[root@linuxprobe ~]# cd /mp 




























































































[root@linuxprobe tmp]# mkdir testdir 
[root@linuxprobe tmp]# 1s -ald testdir/ 
drwxr-xr-x. 2 root root 6 Feb 11 11:50 testdir/ 
[root@linuxprobe tmp]# chmod -RE 777 testdir/ 
[root@linuxprobe tmp]# chmod -RE g+s testdir/ 
[root@linuxprobe tmp]# 1s -ald testdir/ 
drwxrwsrwx. 2 root root 6 Feb 11 11:50 testdir/ 


在 使 用 上 述 命令 设置 好 目录 的 777 权限 (确保 普通 用 户 可 以 向 其 中 写 入 文件 ), 并 为 该 目 
录 设 置 了 SGID 特殊 权限 位 后 ， 就 可 以 切换 至 一 个 普通 用 户 ， 然 后 尝试 在 该 目录 中 创建 文件 ， 
并 查看 新 创建 的 文件 是 否 会 继承 新 创建 的 文件 所 在 的 目录 的 所 属 组 名 称 : 

[root@linuxprobe tmp]# su - linuxprobe 

Last login: Wed Feb 11 11:49:16 CST 2017 on pts/0 


[linuxprobe@linuxprobe ~]$ cd /tmp/testdir/ 
[linuxprobe@linuxprobe testdir]$ echo "linuxprobe.com" > test 









































[linuxprobe@linuxprobe testdir]$ ls -al test 
—rw-rw-r-—-. 1 linuxprobe root 15 Feb 11 11:50 test 





























除了 上 面 提 到 的 SGID 的 这 两 个 功能 , 我 们 再 介绍 两 个 与 本 小 节 内 容 相关 的 命令 : chmod 
和 chown。 

chmod 命令 是 一 个 非常 实用 的 命令 , 能够 用 来 设置 文件 或 目录 的 权限 ,格式 为 “chmod [ 参 
数 ] 权限 文件 或 目录 名 称 ”。 如 果 要 把 一 个 文件 的 权限 设置 成 其 所 有 者 可 读 可 写 可 执行 、 所 
属 组 可 读 可 、 其 他 人 没有 任何 权限 ， 则 相应 的 字符 法 表示 为 rwxrw----， 其 对 应 的 数字 法 表示 
为 760。 通过 前 面 的 基础 学 习 和 当前 的 练习 实践 , 现在 大 家 可 以 感受 到 使 用 数字 法 来 设置 文件 
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权限 的 便捷 性 了 吧 。 
[root@linuxprobe ~]# ls -al test 
—rw-rw-r-—-. 1 linuxprobe root 15 Feb 11 11:50 test 


[root@linuxprobe ~]# chmod 760 test 
[root@linuxprobe ~]# ls -1 test 
—rwxrw---—-. 1 linuxprobe root 15 Feb 11 11:50 test 


除了 设置 文件 或 目录 的 权限 外 ， 还 可 以 设置 文件 或 目录 的 所 有 者 和 所 属 组 ， 这 里 使 用 的 
命令 为 chown， 其 格式 为 “chown [参数 ] 所 有 者 :所 属 组 文件 或 目录 名 称 ”。 

chmod 和 chown 命令 是 用 于 修改 文件 属性 和 权限 的 最 常用 命令 ， 它 们 还 有 一 个 特别 的 共 
性 ， 就 是 针对 目录 进行 操作 时 需要 加 上 大 写 参数 -R 来 表示 递归 操作 ， 即 对 目录 内 所 有 的 文件 
进行 整体 操作 。 


[root@linuxprobe ~]# ls -1 七 est 


















































—rwxrw---—-. 1 linuxprobe root 15 Feb 11 11:50 test 
[root@linuxprobe ~]# chown root:bin test 
[root@linuxprobe ~]# ls -1 test 

—rIwxrw----. 1 root bin 15 Feb 11 11:50 test 





5.3.3 SBIT 


现在 ， 大 学 里 的 很 多 老师 都 要 求学 生 将 作业 上 传 到 服务 器 的 特定 共享 目录 中 ,但 总 是 有 
几 个 “破坏 分 子 ” 喜 欢 删 除 其 他 同学 的 作业 ， 这 时 就 要 设置 SBIT ( Sticky Bit ) 特殊 权限 位 了 
(也 可 以 称 之 为 特殊 权限 位 之 粘 清 位 )。SBIT 特殊 权限 位 可 确保 用 户 只 能 删除 自己 的 文件 ， 而 
不 能 删除 其 他 用 户 的 文件 。 换 名 话说 ， 当 对 某 个 目录 设置 了 SBIT 粘 清 位 权限 后 , 那么 该 目录 
中 的 文件 就 只 能 被 其 所 有 者 执行 删除 操作 了 。 

最 初 不 知道 是 哪 位 非 资深 技术 人 员 将 Sticky Bit 直译 成 了 “ 粘 滞 位 ”>， 刘 六 老师 建议 将 其 
称 为 “保护 位 ”， 这 既 好 记 ， 又 能 立刻 让 人 了 解 它 的 作用 。RHEL 7 系统 中 的 /tmp 作为 一 个 共 
享 文件 的 目录 ,默认 已 经 设置 了 SBIT 特殊 权限 位 ,因此 除非 是 该 目录 的 所 有 者 , 否则 无 法 删 
除 这 里 面 的 文件 。 

与 前 面 所 讲 的 SUID 和 SGID 权限 显示 方法 不 同 ， 当 目录 被 设置 SBIT 特殊 权限 位 后 , 文 
件 的 其 他 人 权限 部 分 的 x 执行 权限 就 会 被 替换 成 t 或 者 T， 原 本 有 x 执行 权限 则 会 写成 t+， 原 
本 没有 x 执行 权限 则 会 被 写成 T。 





















































root@linuxprobe tmp]# su - linuxprobe 

Last login: Wed Feb 11 12:41:20 CST 2017 on pts/0 
linuxprobe@linuxprobe tmp]$ 1s -ald /tmp 

drwxrwxrwt. 17 root root 4096 Feb 11 13:03 /tmp 
linuxprobe@linuxprobe ~]$ cd /tmp 

linuxprobe@linuxprobe tmp]$ 1s -ald 

drwxrwxrwt. 17 root root 4096 Feb 11 13:03 . 

linuxprobe@linuxprobe tmp]$ echo "Welcome to linuxprobe.com" > test 
linuxprobe@linuxprobe tmp]$ chmod 777 test 








linuxprobe@linuxprobe tmp]$ 1s -al test 
—rwxrwxrwx. 1 linuxprobe linuxprobe 10 Feb 11 12:59 test 














其 实 , 文件 能 否 被 删除 并 不 取决 于 自身 的 权限 ， 而 是 看 其 所 在 目录 是 否 有 写 入 权限 (其 
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原理 会 在 下 个 章节 讲 到 ), 为 了 避免 现在 很 多 读者 不 放心 ,所 以 上 面 的 命令 还 是 赋予 了 这 个 test 
文件 最 大 的 777 权限 (rwxrwxrwx )。 我 们 切换 到 另外 一 个 普通 用 户 ， 然 后 尝试 删除 这 个 其 他 
人 创建 的 文件 就 会 发 现 ， 即 便 读 、 写 、 执 行 权限 全 开 , 但 是 由 于 SBIT 特殊 权限 位 的 缘故 ， 依 
然 无 法 删除 该 文件 : 

[root@linuxprobe tmp]# su - blackshield 

Last login: Wed Feb 11 12:41:29 CST 2017 on pts/l1 

[blackshield@linuxprobe ~]$ cd /tmp 


[blackshield@linuxprobe tmp]$ rm -f test 
rm: cannot remove ‘test’: Operation not permitted 





























当然 ， 要 是 也 想 对 其 他 目录 来 设置 SBIT 特殊 权限 位 ， 用 chmod 命令 就 可 以 了 。 对 应 的 
参数 o+t 代表 设置 SBIT 粘 灌 位 权限 ; 


[blackshield@linuxprobe tmp]$ exit 








Logout 

[root@linuxprobe tmp]# cd ~ 
[root@linuxprobe ~]# mkdir linux 
[root@linuxprobe ~]# chmod -R ot+tt linux/ 


[root@linuxprobe ~]# 1s -ld linux/ 
drwxr-xr-t. 2 root root 6 Feb 11 19:34 linux/ 





| 5.4 “文件 的 隐藏 属性 


Linux 系统 中 的 文件 除了 具备 一 般 权 限 和 特殊 权限 之 外 ， 还 有 一 种 隐藏 权限 ， 即 被 隐 茂 
起 来 的 权限 ,默认 情况 下 不 能 直接 被 用 户 发 觉 。 有 用 户 曾 经 在 生产 环境 和 RHCE 考试 题目 中 
碰 到 过 明明 权限 充足 但 却 无 法 删除 某 个 文件 的 情况 ， 或 者 仅 能 在 日 志文 件 中 追加 内 容 而 不 能 
修改 或 删除 内 容 ， 这 在 一 定 程度 上 阻止 了 黑客 算 改 系统 日 志 的 图 谋 ， 因 此 这 种 “奇怪 ”的 文 
件 也 保障 了 Linux 系统 的 安全 性 。 


5.4.1 chattr 命令 


chattr 命令 用 于 设置 文件 的 隐藏 权限 ， 格 式 为 “chattr [参数 ] 文件 ”"。 如 果 想 要 把 某 个 隐 
藏 功能 添加 到 文件 上 ,， 则 需要 在 命令 后 面 追加 “+ 参数 "， 如 果 想 要 把 某 个 隐藏 功能 移出 文件 ， 
则 需要 追加 “- 参 数 ”。chattr 命令 中 可 供 选 择 的 隐藏 权限 参数 非常 丰富 ， 上 具体 如 表 5-6 所 示 。 






























































表 5-6 chattr 命令 中 用 于 隐藏 权限 的 参数 及 其 作用 
参数 作用 





无 法 对 文件 进行 修改 ; 若 对 目录 设置 了 该 参数 , 则 仅 能 修改 其 中 的 子 文件 内 容 而 
不 能 新 建 或 删除 文件 


























a 仅 允 许 补充 (追加 ) 内容 ,无 法 覆盖 /删除 内 容 ( Append Only ) 
S 文件 内 容 在 变更 后 立即 同步 到 硬盘 ( sync ) 

S 彻底 从 硬盘 中 删除 ， 不 可 恢复 (用 0 填充 原文 件 所 在 硬盘 区 域 ) 
A 不 再 修改 这 个 文件 或 目录 的 最 后 访问 时 间 (atime ) 
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参数 作用 
b 不 再 修改 文件 或 目录 的 存 取 时 间 
D 聆 查 压缩 文件 中 的 错误 
d 使 用 dump 命令 备份 时 忽略 本 文件 /目录 
c 默认 将 文件 或 目录 进行 压缩 
u 当 删 除 该 文件 后 依然 保留 其 在 硬盘 中 的 数据 ， 方 便 日 后 恢复 
t 让 文件 系统 支持 尾部 合并 ( tail-merging ) 
x 可 以 直接 访问 压缩 文件 中 的 内 容 























为 了 让 读者 能 够 更 好 地 见识 隐藏 权限 的 效果 ， 我 们 先 来 创建 一 个 普通 文件 ， 然 后 立即 尝 
试 删除 ( 这 个 操作 肯定 会 成 功 ): 


[root@linuxprobe ~]# echo "for Test" > linuxprobe 





[root@linuxprobe ~]# rm linuxprobe 


rm: remove regular file ‘linuxprobe’? y 


























实践 是 检验 真理 的 唯一 标准 。 如 果 您 没有 亲眼 见证 过 隐藏 权限 强大 功能 的 美妙 ， 就 一 定 
不 会 相信 原来 Linux 系统 会 如 此 安全 。 接 下 来 我 们 再 次 新 建 一 个 普通 文件 ， 并 为 其 设置 不 允 


许 删除 与 覆盖 〈 +a 参数 ) 权限 ， 然 后 再 尝试 将 这 个 文件 删除 : 


[root@linuxprobe ~]# echo "for Test" > linuxprobe 


























[root@linuxprobe ~]# chattr +a linuxprobe 
[root@linuxprobe ~]# rm linuxprobe 
rm: remove regular file ‘linuxprobe’? y 


rm: cannot remove ‘linuxprobe’: Operation not permitted 


可 见 ， 上 述 操作 失败 了 。 





5.4.2 lsattr 命令 


lsattr 命令 用 于 显示 文件 的 隐藏 权限 ， 格 式 为 “lsattr [参数 ] 文件 ”"。 在 Linux 系统 中 ， 文 
件 的 隐藏 权限 必须 使 用 lsattr 命令 来 查看 ， 平 时 使 用 的 ls 之 类 的 命令 则 看 不 出 端倪 : 











[root@linuxprobe ~]# ls -al linuxprobe 
—rw-r--r--. 1 root root 9 Feb 12 11:42 linuxprobe 











一 旦 使 用 lsattr 命令 后 , 文件 上 被 赋予 的 隐藏 权限 马上 就 会 原形 毕露 。 此 时 可 以 按照 显示 
的 隐藏 权限 的 类 型 (字母 )， 使 用 chattr 命令 将 其 去 掉 : 








root@linuxprobe ~]# lsattr linuxprobe 
于 a LNUXPLODe 
root@linuxprobe ~]# chattr -a linuxprobe 
root@linuxprobe ~]# lsattr linuxprobe 
二 二 二 二 本 二 二 二 二 二 二 大 linuxprobe 





root@linuxprobe ~]# rm linuxprobe 


rm: remove regular file ‘linuxprobe’? y 
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| 5.5 “文件 访问 控制 列表 











不 知道 大 家 是 否 发 现 ， 前 文 讲解 的 一 般 权 限 、 特 殊 权 限 、 隐 藏 权限 其 实 有 一 个 共性 一 一 权限 
是 针对 茶 一 类 用 户 设置 的 。 如 果 硕 望 对 茶 个 指定 的 用 户 进行 单独 的 权限 控制 ， 就 需要 用 到 文 
件 的 访问 控制 列表 (ACL ) 了 。 通 俗 来 讲 ， 基 于 普通 文件 或 目录 设置 ACL 其 实 就 是 针对 指定 
的 用 户 或 用 户 组 设置 文件 或 目录 的 操作 权限 。 另 外 ， 如 果 针 对 某 个 目录 设置 了 ACL， 则 目录 
中 的 文件 会 继承 其 ACL; 若 针 对 文件 设置 了 ACL， 则 文件 不 再 继承 其 所 在 目录 的 ACL。 

为 了 更 直观 地 看 到 ACL 对 文件 权限 控制 的 强大 效果 ， 我 们 先 切换 到 普通 用 户 ， 然 后 
尝试 进入 root 管理 员 的 家 目录 中 。 在 没有 针对 普通 用 户 对 root 管理 员 的 家 目录 设置 ACL 
之 前 ， 其 执行 结果 如 下 所 示 : 






















































































[root@linuxprobe ~]# su - linuxprobe 
Last login: Sat Mar 21 16:31:19 CST 2017 on pts/0 
[linuxprobe@linuxprobe ~]$ cd /root 


-bash: cd: /root: Permission denied 
[linuxprobe@linuxprobe root]$ exit 





5.5.1 setfacl 命令 





setfacl 命令 用 于 管理 文件 的 ACL 规则 ， 格 式 为 “setfacl [参数 ] 文件 名 称 ”。 文 件 的 ACL 
提供 的 是 在 所 有 者 、 所 属 组 、 其 他 人 的 读 / 写 /执行 权限 之 外 的 特殊 权限 控制 , 使 用 setfacl 命令 
可 以 针对 单一 用 户 或 用 户 组 、 单 一 文件 或 目录 来 进行 读 / 写 /执行 权限 的 控制 。 其 中 ,针对 目录 
文件 需要 使 用 -R 递归 参数 ;针对 普通 文件 则 使 用 -m 参数 ;如果 想 要 删除 某 个 文件 的 ACL， 
则 可 以 使 用 -b 参数 。 下 面 来 设置 用 户 在 /root 目录 上 的 权限 : 


root@linuxprobe ~]# setfacl -Rm u:linuxprobe:rwx /root 




































































root@linuxprobe ~]# su - linuxprobe 

Last login: Sat Mar 21 15:45:03 CST 2017 on pts/1 
linuxprobe@linuxprobe ~]$ cd /root 
linuxprobe@linuxprobe root]$ ls 

anaconda-ks.cfg Downloads Pictures Public 
linuxprobe@linuxprobe root]$ cat anaconda-ks.cfg 





linuxprobe@linuxprobe root]$ exit 


是 不 是 觉得 效果 很 酷 呢 ?但 是 现在 有 这 样 一 个 小 问题 一 一 怎么 去 查看 文件 上 有 那些 ACL 
呢 ? 常用 的 1s 命令 是 看 不 到 ACL 表 信 息 的 , 但 是 却 可 以 看 到 文件 的 权限 最 后 一 个 点 (.) 变 
成 了 加 号 (+) ,这 就 意味 着 该 文件 已 经 设置 了 ACL 了 。 现 在 大 家 是 不 是 感觉 学 得 越 多 ， 越 不 
敢 说 自己 精通 Linux 系统 了 吧 ? 就 这 么 一 个 不 起 眼 的 点 (. ), 竞 然 还 表示 这 么 一 种 重要 的 权限 。 







































































[root@linuxprobe ~]# ls -ld /root 
dr—-xrwx---+ 14 root root 4096 May 4 2017 /root 





5.5.2 getfacl 命令 
getfacl 命令 用 于 显示 文件 上 设置 的 ACL 信息 ， 格 式 为 “getfacl 文件 名 称 ”。Linux 系统 
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中 的 命令 就 是 这 么 又 可 爱 又 好 记 。 想 要 设置 ACL， 用 的 是 setfacl 命令 ; 要 想 查 看 ACL， 则 用 
的 是 getfacl 命令 。 下 面 使 用 getfacl 命令 显示 在 root 管理 员 家 目录 上 设置 的 所 有 ACL 信息 。 











[root@linuxprobe ~]# getfacl /root 

getfacl: Removing leading '/' from absolute path names 
# file: root 

# owner: root 

# group: root 

User::r-x 

user:linuxprobe:rwx 

gEOUPBE :EX 

mask: :rwx 


Other:s =—= 
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6 ”su 命令 与 sudo 服务 











各 位 读者 在 实验 环境 中 很 少 遇 到 安全 问题 , 并且 为 了 避免 因 权 限 因 素 导 致 配置 服务 失败 ， 从 








而 建议 使 用 root 管理 员 来 学 习 本 书 , 但 是 在 生产 环境 中 还 是 要 对 安全 多 一 份 敬 上 之 心 ,不 要 用 root 








管理 员 去 做 所 有 事情 。 因 为 一 旦 执行 了 错误 的 命令 ， 可 能 会 直接 导致 系统 崩 演 ， 这 样 一 来 ,不 但 





客户 指责 、 领 导 批评 ， 没 准 奖 金 也 会 鸡 飞 蛋 打 。 但 转 头 一 想 ， 尽 管 Linux 系统 为 了 安全 性 考虑 ， 
使 得 许多 系统 命令 和 服务 只 能 被 root 管理 员 来 使 用 ,但 是 这 也 让 普通 用 户 受到 了 更 多 的 权限 束缚 ， 


从 而 











导致 无 法 顺利 完成 特定 的 工作 任务 。 





su 命令 可 以 解决 切换 用 户 身 份 的 需求 ， 使 得 当前 用 户 在 不 退出 登录 的 情况 下 ， 顺 畅 地 切 





换 到 其 他 用 户 ， 比 如 从 root 管理 员 切 换 至 普通 用 户 : 








[root@linuxprobe ~]# id 
uid=0 (root) gid=0 (root) groups=0 (root) 


[root@linuxprobe ~]# su - linuxprobe 
Last login: Wed Jan 4 01:17:25 EST 2017 on pts/0 
[linuxprobe@linuxprobe ~]$ id 


uid=1000 (linuxprobe) gid=1000 (linuxprobe) groups=1000 (linuxprobe) context=unconfined 


u:unconfined r:unconfined t:s0-s0:c0.c1023 





细心 的 读者 一 定 会 发 现 ， 上 面 的 su 命令 与 用 户 名 之 间 有 一 个 减 号 (- )， 这 意味 着 完全 切 








换 到 新 的 用 户 ， 即 把 环境 变量 信息 也 变更 为 新 用 户 的 相应 信息 ， 而 不 是 保留 原始 的 信息 。 强 
烈 建 议 在 切换 用 户 身 份 时 添加 这 个 减 号 (- )。 

















另外 , 当 从 root 管理 员 切 换 到 普通 用 户 时 是 不 需要 密码 验证 的 ,而 从 普通 用 户 切 换 成 root 



































管理 员 就 需要 进行 密码 验证 了 ; 这 也 是 一 个 必要 的 安全 检查 : 





linuxprobe@linuxprobe root]$ su root 
Password: 
root@linuxprobe ~]# su - linuxprobe 
Last login: Mon Aug 24 19:27:09 CST 2017 on pts/0 
linuxprobe@linuxprobe ~]$ exit 
logout 
root@linuxprobe ~]# 
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尽管 像 上 面 这 样 使 用 su 命令 后 ， 普 通用 户 可 以 完全 切换 到 root 管理 员 身 份 来 完成 相应 工作 ， 





5.6 ”su 命令 与 sudo 服务 




















但 这 将 暴露 root 管理 员 的 密码 ， 从 而 增 大 了 系统 密码 被 黑客 获取 的 几率 ; 这 并 不 是 最 安全 的 方案 。 
刘 雍 老师 接 下 来 将 介绍 如 何 使 用 sudo 命令 把 特定 命令 的 执行 权限 赋予 给 指定 用 户 ， 

这 样 既 可 保证 普通 用 户 能 够 完成 特定 的 工作 , 也 可 以 避免 泄露 root 管理 员 密 码 。 我们 要 做 

的 就 是 合理 配置 sudo 服务 ， 以 便 兼 顾 系 统 的 安全 性 


则 也 很 简单 一 一 在 保证 普通 月 























E 和 用 户 的 便捷 性 。sudo 服务 的 配置 原 


户 完成 相应 工作 的 前 提 下 ， 尽 可 能 少 地 赋予 额外 的 权限 。 


sudo 命令 用 于 给 普通 用 户 提供 额外 的 权限 来 完成 原本 root 管理 员 才 能 完成 的 任务 , 格式 
为 “sudo [参数 ] 命令 名 称 ”。sudo 服务 中 可 用 的 参数 以 及 相应 的 作用 如 表 5-7 所 示 。 




































































表 5-7 sudo 服务 中 的 可 用 参数 以 及 作用 
参数 作用 

-h 列 出 帮助 信息 
-1 列 出 当前 用 户 可 执行 的 命令 
-u 用 户 名 或 UID 值 以 指定 的 用 户 身 份 执行 命令 
-kk 清空 密码 的 有 效 时 间 ， 下 次 执行 sudo 时 需要 再 次 进行 密码 验证 
-b 在 后 台 执 行 指定 的 命令 
-p 更 改 询问 密码 的 提示 语 

总 结 来 说 ，sudo 命令 具有 如 下 功能 : 





> 限制 用 户 执行 指定 的 命令 : 
> 记录 用 户 执 行 的 每 一 条 命令 ; 





> 配置 文件 (/etc/sudoers ) 提供 











集中 的 用 户 管理 、 权 限 与 主机 等 参数 ; 


> 验证 密码 的 后 5 分 钟 内 〈 默 认 值 ) 无 须 再 让 用 户 再 次 验证 密码 。 





当然 , 如 果 担 心 直 接 修改 配置 文 付 
来 配置 用 户 权 限 。 这 








在 配置 月 























F 会 出 现 问题 , 则 可 以 使 用 sudo 命令 提供 的 visudo 命令 
日 户 权 限时 将 禁止 多 个 用 户 同时 修改 sudoers 配置 文件 , 还 





可 以 对 配置 文件 内 的 参数 进行 语法 检查 ， 并 在 发 现 参 数 错 误 时 进行 报错 。 


_ 





只 有 froot 管理 员 才 可 以 使 用 visudo 命令 编辑 sudo 服务 的 配置 文件 。 





visudo: >>> /etc/sudoers: syntax error near 


What now? 


Options are: 


(e)dit sudoers file again 


line 111 <<< 


(x)it without saving changes to sudoers file 


(Q) uit and save changes to sudoers file (DANGER!) 




















使 用 visudo 命令 配置 sudo 命令 的 配置 文件 时 ， 其 操作 方法 与 Vim 编辑 咒 中 用 到 的 方法 

















一 致 ， 因 此 在 编写 完成 后 记得 在 末 行 模式 下 保存 并 退出 。 在 sudo 命令 的 配置 文件 中 ,按照 下 
面 的 格式 将 第 99 行 (大 约 ) 填写 上 指定 的 信息 : 
谁 可 以 使 用 允许 使 用 的 主机 = ( 以 谁 的 身份 ) 
































可 执行 命令 的 列表 





[root@linuxprobe ~]# visudo 


96 ## 


97 ## Allow root to run any commands anywhere 
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98 root ALL= (ALL) ALL 
99 linuxprobe ALL= (ALL) ALL 


在 填写 完毕 后 记得 要 先 保存 再 退出 ,然后 切换 至 指定 的 普 
-1 命令 查看 到 所 有 可 执行 的 命令 了 (下 面 的 命令 中 , 验证 的 是 
管理 员 的 密码 ， 请 读者 不 要 搞 混 了 ): 

















户 身份 ,此 时 就 可 以 用 sudo 
普通 用 户 的 密码 , 而 不 是 root 





证 











中 



































Xt 











[root@linuxprobe ~]# su - linuxprobe 
Last login: Thu Sep 3 15:12:57 CST 2017 on pts/1 
[linuxprobe@linuxprobe ~]$ sudo -1 


[sudo] password for Linuxprobe: 此 处 输入 1inuxprobe 用 户 的 密码 

Matching Defaults entries for linuxprobe on this host: 

requiretty, !visiblepw, always set home, env reset, env keep="COLORS 
DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS COLORS", env keep+="MAIL PS1 
PS2 QTDIR USERNAME LANG LC ADDRESS LC CTYPE", env keep+="LC COLLATE 
LC_ IDENTIFICATION LC MEASUREMENT LC MESSAGES", env keep+="LC MONETARY 
LC NAME LC NUMERIC LC PAPER LC TELEPHONE", env keep+="LC TIME LC ALL 
LANGUAGE LINGUAS XKB CHARSET XAUTHORITY", 

secure path=/sbin\:/bin\:/usr/sbin\:/usr/bin 

User linuxprobe may run the following commands on this host: 

(ALL) ALL 


接 下 来 是 见证 奇迹 的 时 刻 ! 作为 一 名 普通 用 户 ， 是 肯定 不 能 看 到 root 管理 员 的 家 目录 
( /root ) 中 的 文件 信息 的 ,但 是 ， 只 需要 在 想 执行 的 命令 前 面 加 上 sudo 命令 就 可 以 了 : 

















[linuxprobe@linuxprobe ~]$ ls /root 

ls: cannot open directory /root: Permission denied 
[linuxprobe@linuxprobe ~]$ sudo ls /root 

anaconda-ks.cfg Documents initial-setup-ks.cfg Pictures Templates 
Desktop Downloads Music Public Videos 


效果 立竿见影 ! 但 是 考虑 到 生产 环境 中 不 允许 某 个 普通 用 户 拥有 整个 系统 中 所 有 命令 的 
最 高 执行 权 ( 这 也 不 符合 前 文 提 到 的 权限 赋予 原则 ， 即 尽 可 能 少 地 赋予 权限 )， 因 此 ALL 参 
数 就 有 些 不 合适 了 。 因 此 只 能 赋予 普通 用 户 具体 的 命令 以 满足 工作 需求 ， 这 也 受到 了 必要 的 
权限 约束 。 如 果 需 要 让 某 个 用 户 只 能 使 用 root 管理 员 的 身份 执行 指定 的 命令 ,切记 一 定 要 给 
出 该 命令 的 绝对 路 径 , 否则 系统 会 识别 不 出 来 。 我 们 可 以 先 使 用 whereis 命令 找 出 命令 所 对 应 
的 保存 路 径 ， 然 后 把 配置 文件 第 99 行 的 用 户 权 限 参 数 修改 成 对 应 的 路 径 即 可 : 
























































[linuxprobe@linuxprobe ~]$ exit 
logout 
[root@linuxprobe ~]# whereis cat 


cat: /usr/bin/cat /usr/share/man/manl/cat.1.gz /usr/share/man/manlp/cat.1p.gz 
[root@linuxprobe ~]# visudo 

96 ## 

97 ## Allow root to run any commands anywhere 

98 root ALL= (ALL) ALL 

99 linuxprobe ALL=(ALL) /usr/bin/cat 


在 编辑 好 后 依然 是 先 保存 再 退出 。 再 次 切换 到 指定 的 普通 用 户 ， 然 后 尝试 正常 查看 菜 个 
文件 的 内 容 ， 此 时 系统 提示 没有 权限 。 这 时 再 使 用 sudo 命令 就 可 以 顺利 地 查看 文件 内 容 了 : 











[root@linuxprobe ~]# su - linuxprobe 
Last login: Thu Sep 3 15:51:01 CST 2017 on pts/1 
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[linuxprobe@linuxprobe ~]$ cat /etc/shadow 

cat: /etc/shadow: Permission denied 
[linuxprobe@linuxprobe ~]$ sudo cat /etc/shadow 
root:$6$GV3UVtX4ZGg6ygA6$J9PBUPGUSgZs1j83jyoI7ThJla9ZAULkuUu3BcNncAYFOOUwkK6Sqc4E36 
MnD1hLtlG9QadCpQCNVJs/5awHd0/pil:16626:0:99999:7::: 
Di *S L641 .09.9999 7 
daemon:*:16141:0:99999:7::: 

有 CITY T6141:%0":999.99:5 7 3 

Ib:* 640:99999% 7 

Syn LO6l41:.0899999. T7533 
shutdown:*:16141:0:99999:;7::: 

lalbters EolalsyoOs9 0 

mal les lo6oL4l:099999 57 

Operators* 1l6laAls0999993 7 5s 

games:* Ll6l4l:0.99999% 7 0: 

fb Lo Or 

noepbody.: “16141:0:99999% 7 3 














大 家 千 万 不 要 以 为 到 这 里 就 结束 了 ， 刘 遂 老 师 还 有 更 压 箱底 的 宝贝 。 不 知 大 家 是 否 发 觉 
在 每 次 执行 sudo 命令 后 都 会 要 求 验证 一 下 密码 。 虽 然 这 个 密码 就 是 当前 登录 用 户 的 密码 ， 但 
是 每 次 执行 sudo 命令 都 要 输入 一 次 密码 其 实 也 挺 麻烦 的 ， 这 时 可 以 添加 NOPASSWD 参数 ， 
使 得 用 户 执行 sudo 命令 时 不 再 需要 密码 验证 : 





























[linuxprobe@linuxprobe ~]$ exit 

logout 

[root@linuxprobe ~]# whereis poweroff 

Poweroff: /usr/sbin/poweroff /usr/share/man/man8/poweroff.8.gz 
[root@linuxprobe ~]# visudo 

ne 省 略 部 分 文件 内 容 .…………………… 
96 ## 
97 ## Allow root to run any commands anywhere 
98 root ALL= (ALL) ALL 

99 linuxprobe ALL=NOPASSWD: /usr/sbin/poweroff 


en 省 略 部 分 文件 内 容 .………… 











这 样 ， 当 切换 到 普通 用 户 后 再 执行 命令 时 ， 就 不 用 再 频繁 地 验证 密码 了 ， 我 们 在 日 常 工 
作 中 也 就 痛快 至 极 了 。 























[root@linuxprobe ~]# su - linuxprobe 

Last login: Thu Sep 3 15:58:31 CST 2017 on pts/1 

[linuxprobe@linuxprobe ~]$ poweroff 

User root is logged in on seat0 . 

Please retry operation after closing inhibitors and logging out other users. 
Alternatively, ignore inhibitors and users with '‘'systemctl1 poweroff -i'. 
[linuxprobe@linuxprobe ~]$ sudo poweroff 





| 复习 题 





1. 在 RHEL7 系统 中 ，root 管理 员 是 谁 ? 
答 : 是 UID 为 0 的 用 户 ， 默 认 是 root 管理 员 。 
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如 何 使 用 Linux 系统 的 命令 行 来 添加 或 删除 用 户 ? 
答 : 添加 和 删除 用 户 的 命令 0 useradd 与 userdel。 




















.和 若 某 个 文件 的 所 有 者 具有 文件 的 读 / 写 /执行 权限 ， 其 余人 仅 有 读 权限 ， 那 么 用 数字 法 表示 














应 该 是 什么 ? 
答 : 所 有 者 权限 为 rwx， 所 属 组 和 其 他 人 的 权限 为 ~-， 因 此 数字 法 表示 应 该 是 744。 

















， 某 链接 文件 的 权限 用 数字 法 表示 为 7355， 那 么 相应 的 字符 法 表示 是 什么 呢 ? 


答 : 在 Linux 系统 中 ， 不 同文 件 具 有 不 同 的 类 型 ， 因 此 这 里 应 写成 lrwxr-xr-x。 





， 如果 和 希望 用 户 执行 某 命令 时 临时 拥有 该 命令 所 有 者 的 权限 ， 应 该 设置 什么 特殊 权限 ? 





答 : 特殊 权限 中 的 SUID。 


. 若 对 文件 设置 了 隐藏 权限 +i， 则 意味 着 什么 ? 








答 : 无 法 对 文件 进行 修改 ; 若 对 目录 设置 了 该 参数 , 则 仅 能 修改 其 中 的 子 文件 内 容 而 不 能 
新 建 或 删除 文件 。 














.使 用 访问 控制 列表 (ACL ) 来 限制 linuxprobe 用 户 组 ， 使 得 该 组 中 的 所 有 成 员 不 得 在 /tmp 


目录 中 写 入 内 容 。 
答 : 想 要 设置 用 户 组 的 ACL， 则 需要 把 u 改 成 g， 即 setfacl -Rm g:linuxprobe:r-x /tmp。 








. 当 普 通用 户 使 用 sudo 命令 时 是 否 需 要 验证 密码 ? 











答 : 系统 在 默认 情况 下 需要 验证 当前 登录 用 户 的 密码 , 若 不 想 要 验证 , 可 添加 NOPASSWD 
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存储 结构 与 磁盘 划分 


本 章 讲解 了 如 下 内 容 : 


一 切 从 “/” 开 始 ; 
物理 设备 的 命名 规则 ; 
文件 系统 与 数据 资料 ; 
挂 载 硬件 设备 ; 

添加 硬件 设备 ; 

添加 交换 分 区 ; 

磁盘 容量 配额 ; 

软 硬 方式 链接 。 
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Linux 系统 中 颇具 特色 的 文件 存储 结构 常常 搞 得 新 手头 学 脑 胀 ,本 章 将 从 Linux 系统 中 的 
文件 存储 结构 开始 ， 讲 述 文件 系统 层次 化 标准 (FHS ，Filesystem Hierarchy Standard )、udev 
硬件 命名 规则 以 及 硬盘 分 区 的 规划 方法 。 

为 了 让 读者 更 好 地 理解 文件 系统 的 作用 ， 刘 六 老师 将 在 本 章 中 详细 地 分 析 Linux 系统 中 
最 常见 的 Ext3 、Ext4 与 XFS 文件 系统 的 不 同 之 处 ， 并 带领 各 位 读者 着 重 练习 硬盘 设备 分 区 、 
格式 化 以 及 挂 载 等 常用 的 硬盘 管理 操作 ， 以 便 熟 练 掌握 文件 系统 的 使 用 方法 。 

在 打下 坚实 的 理论 基础 与 完成 一 些 相关 的 实践 练习 后 ,我们 将 进一步 完整 地 部 署 SWAP 
交换 分 区 、 配 置 quota 磁盘 配额 服务 ， 以 及 掌握 jn 命令 带 来 的 软 硬 链接 。 相 信 各 位 读者 在 学 
习 完 本 章 后 ， 会 对 Linux 系统 以 及 Windows 系统 中 的 磁盘 存储 以 及 文件 系统 有 深入 的 理解 。 


| 6.1 一 切 从 “/” 开 始 
























































在 Linux 系统 中 ， 目录、 字符 设备 、 块 设备 、 套 接 字 、 打 印 机 等 都 被 抽象 成 了 文件 ， 即 刘 选 
老师 所 一 直 强 调 的 “Linux 系统 中 一 切 都 是 文件 ”。 既 然 平 时 我 们 打交道 的 都 是 文件 ， 那么 又 应 该 
如 何 找到 它们 呢 ? 在 Windows 操作 系统 中 , 想 要 找到 一 个 文件 , 我 们 要 依次 进入 该 文件 所 在 的 磁 
盘 分 区 (假设 这 里 是 D 盘 ), 然后 在 进入 该 分 区 下 的 具体 目录 , 最终 找到 这 个 文件 。 但 是 在 Linux 
系统 中 并 不 存在 CD/E/F 等 盘 符 ，Linux 系统 中 的 一 切 文件 都 是 从 “ 根 〈/) 目录 开始 的 ， 并 按照 
文件 系统 层次 化 标准 (FHS ) 采 用 树 形 结构 来 存放 文件 , 以 及 定义 了 常见 目录 的 用 途 。 另 外 , Linux 
系统 中 的 文件 和 目录 名 称 是 严格 区 分 大 小 写 的 。 例 如 ，root、rOOt、Root 、rooT 均 代 表 不 同 的 目 
录 ， 并 且 文 件 名 称 中 不 得 包含 斜 枉 (/ )。Linux 系统 中 的 文件 存储 结构 如 图 6-1 所 示 。 
















































































存储 结构 与 磁盘 划分 


/root /bin /boot /dev 


/root/Desktop 

















根 目录 / 


/root/Media OO 


jetc /home /var /ib /sr /media /tmp 


- /usrbin /usr/lib ee 


图 6-1 Linux 系统 中 的 文件 存储 结构 

















前 文 提 到 的 FHS 是 根据 以 往 无 数 Linux 系统 用 户 和 开发 者 的 经 验 而 总 结 出 来 的 ,是 用 户 
在 Linux 系统 中 存储 文件 时 需要 遵守 的 规则 ， 用 于 指导 我 们 应 该 把 文件 保存 到 什么 位 置 ， 以 
及 告诉 用 户 应 该 在 何 处 找到 所 需 的 文件 。 但 是 ， 





























束 ， 有 些 用 户 就 是 懒得 遵守 ， 依 然 会 把 文件 到 处 乱 放 ， 有 些 甚至 从 来 没有 听 说 过 它 。 这 里 并 





























FHS 对 于 用 户 来 讲 只 能 算是 一 种 道德 上 的 约 








不 是 号 召 各 位 读者 去 遗 责 他 们 , 而 是 建议 大 家 要 灵活 运用 所 学 的 知识 , 千 万 不 要 认 准 这 个 FHS 





























协定 只 讲 死 道理 ， 不 然 吃 亏 的 可 就 是 自己 了 。 在 Linux 系统 中 ， 最 常见 的 目录 以 及 所 对 应 的 





存放 内 容 如 表 6-1 所 示 。 























































































































































































































表 6-1 Linux 系统 中 常见 的 目录 名 称 以 及 相应 内 容 
目录 名 称 应 放置 文件 的 内 容 

/boot 机 所 需 文件 一 一 内 核 、 开 机 菜单 以 及 所 需 配置 文件 等 
/dev 以 文件 形式 存放 任何 设备 与 接口 
/etc 配置 文件 
/home 用 户 家 目录 
/bin 存放 单 用 户 模式 下 还 可 以 操作 的 命令 
/1ib 机 时 用 到 的 函数 库 ， 以 及 /bin 与 /sbin 下 面 的 命令 要 调用 的 函数 
/sbin 机 过 程 中 需要 的 命令 
/media 用 于 挂 载 设 备 文件 的 目录 
/opt 放置 第 三 方 的 软件 
/root 系统 管理 员 的 家 目录 
/srv 一 些 网 络 服 务 的 数据 文件 目录 
/tmp 任何 人 均 可 使 用 的 “共享 ”临时 目录 
/proc 虚拟 文件 系统 ， 例 如 系统 内 核 、 进 程 、 外 部 设备 及 网 络 状 态 等 
/usr/local 用 户 自 行 安装 的 软件 
/usr/sbin Linux 系统 开机 时 不 会 使 用 到 的 软件 /命令 /脚本 
/usr/share 帮助 与 说 明文 件 ， 也 可 放置 共享 文件 
/var 主要 存放 经 常 变化 的 文件 ， 如 日 志 
/lost+found 当 文 件 系 统 发 生 错 误 时 ， 将 一 些 丢 失 的 文件 片段 存放 在 这 里 

















在 Linux 系统 中 男 外 还 有 一 个 重要 的 概念 一 一 路 径 。 路 径 指 的 是 如 何 定位 到 某 个 文件 ， 
分 为 绝对 路 径 与 相对 路 径 。 绝 对 路 径 指 的 是 从 根 目录 〈/) 开始 写 起 的 文件 或 目录 名 称 ， 而 相 
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对 路 径 则 指 的 是 相对 于 当前 路 径 的 写法 。 我 们 来 看 下 面 这 个 例子 ， 以 帮助 大 家 理解 。 假 如 有 
位 外 国 游 客 来 到 中 国 潘 家 园 旅游 ， 当 前 内 和 急 但 是 找 不 到 洗手 间 ， 特 意向 您 问 路 ， 那 么 您 有 两 
种 正确 的 指 路 方法 。 
> 绝对 路 径 ( absolute path ) :首先 坐 飞机 来 到 中 国 ， 到 了 北京 出 首都 机 场 坐 机 场 快 轨 
到 三 元 桥 ， 然 后 换 乘 10 号 线 到 潘 家 园 站 ， 出 站 后 坐 34 路 公交 车 到 农 光 里 ,下 和 车 后 路 
口 左 转 。 
> 相对 路 径 ( relative path ) :前 面 路 口 左 转 。 
这 两 种 方法 都 正确 。 如 果 您 说 的 是 绝对 路 径 ， 那 么 任何 一 位 外 国 游客 都 可 以 按 
照 这 个 提示 找到 潘 家 园 的 洗手 间 ， 但 是 太 繁 琐 了 。 如 果 您 说 的 是 相对 路 径 ， 虽 然 表 
达 很 简练 ,但 是 这 位 外 国 游客 只 能 从 当前 位 置 (不 见得 是 潘 家 园 ) 出 发 找到 洗手 间 ， 
因此 并 不 能 保证 在 前 面 的 路 口 左 转 后 可 以 找到 洗手 间 ， 由 此 可 见 ， 相 对 路 径 不 具备 
普 适 性 。 
如 果 各 位 读者 现在 还 是 不 能 理解 相对 路 径 和 绝对 路 径 的 区 别 ， 也 不 要 着 急 ， 以 后 通过 实 
践 练习 肯定 可 以 彻底 搞 明 白 。 当 前 建议 大 家 先 记 住 FHS 中 规范 的 目录 作用 ， 这 将 在 以 后 派 上 
用 场 。 
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在 Linux 系统 中 一 切 都 是 文件 ， 硬 件 设备 也 不 例外 。 既 然 是 文件 ， 就 必须 有 文件 名 称 。 
系统 内 核 中 的 udev 设备 管理 顺 会 自动 把 硬件 名 称 规范 起 来 , 目的 是 让 用 户 通 过 设备 文件 的 名 
字 可 以 猜 出 设备 大 致 的 属性 以 及 分 区 信息 等 ; 这 对 于 陌生 的 设备 来 说 特别 方便 。 另 外 ，udev 
设备 管理 咒 的 服务 会 一 直 以 守护 进程 的 形式 运行 并 侦 听 内 核发 出 的 信和 号 来 管理 /dev 目录 下 的 
设备 文件 。Linux 系统 中 常见 的 硬件 设备 的 文件 名 称 如 表 6-2 所 示 。 

























































































表 6-2 常见 的 硬件 设备 及 其 文件 名 称 
硬件 设备 文件 名 称 

IDE 设备 /dev/hd[a-d] 
SCSLSATA/U 盘 /dev/sdla-p] 
软驱 /dev/fd[0-1] 
打印 机 /dev/1p[0-15] 
光驱 /dev/cdrom 
鼠标 /dev/mouse 
磁带 机 /dev/st0 或 /dev/ht0 








由 于 现在 的 IDE 设备 已 经 很 少见 了 ， 所 以 一 般 的 硬盘 设备 都 会 是 以 “/dewsd” 开 头 的 。 
而 一 台 主 机 上 可 以 有 多 块 硬盘 ， 因 此 系统 采用 a~p 来 代表 16 块 不 同 的 硬盘 ( 默认 从 a 开始 
分 配 )， 而 且 硬 盘 的 分 区 编号 也 很 有 讲究 : 

> 主 分 区 或 扩展 分 区 的 编号 从 1 开始 ， 到 4 结束 ; 

> 逻辑 分 区 从 编号 5 开始 。 
国内 很 多 Linux 培训 讲师 以 及 很 多 知名 Linux 图 书 在 讲 到 设备 和 分 区 名 称 时 ， 总 会 讲 错 
两 个 知识 点 。 第 一 个 知识 点 是 设备 名 称 的 理解 错误 。 很 多 培训 讲师 和 Linux 技术 图 书 中 会 提 
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到 ， 比 如 /dev/sda 表示 主板 上 第 一 个 插 模 上 的 存储 设备 , 学 员 或 读者 在 实践 操作 的 时 候 会 发 现 
果然 如 此 ， 因 此 也 就 对 这 条 理论 知识 更 加 深信 不 疑 。 但 真相 不 是 这 样 的 ，/dev 目录 中 sda 设 
备 之 所 以 是 a, 并 不 是 由 插 档 决 定 的 , 而 是 由 系统 内 核 的 识别 顺序 来 决定 的 , 而 恰巧 很 多 主板 
的 插 槽 顺序 就 是 系统 内 核 的 识别 顺序 ， 因 此 才 会 被 命名 为 /dev/sda。 大 家 以 后 在 使 用 iSCSI 网 
络 存储 设备 时 就 会 发 现 , 明明 主板 上 第 二 个 插 档 是 空 着 的 , 但 系统 却 能 识别 到 /dev/sdb 这 个 设 
备 就 是 这 个 道理 。 
第 二 个 知识 点 是 对 分 区 名 称 的 理解 错误 。 很 多 Linux 培训 讲师 会 告诉 学 员 ， 分 区 的 编号 
代表 分 区 的 个 数 。 比 如 sda3 表示 这 是 设备 上 的 第 三 个 分 区 ， 而 学 员 在 做 实验 的 时 候 确 实 也 会 
得 出 这 样 的 结果 ， 但 是 这 个 理论 知识 是 错误 的 ， 因为 分 区 的 数字 编码 不 一 定 是 强制 顺延 下 来 
的 ， 也 有 可 能 是 手工 指定 的 。 因 此 sda3 只 能 表示 是 编号 为 3 的 分 区 ， 而 不 能 判断 sda 设备 上 
已 经 存在 了 3 个 分 区 。 
在 填 了 这 两 个 “ 坑 ” 之 后 ， 刘 六 老师 再 来 分 析 一 下 /devwsda5 这 个 设备 文件 名 称 包 含 哪些 
信息 ， 如 图 6-2 所 示 。 



















































































































































































hd 表示 IDE 设备 
sd 表示 SCSI 设备 


亲本 这 





硬盘 的 顺序 号 ， 以 字母 人 以 数字 
a、b、c…… 表 示 表示 


图 6-2 设备 文件 名 称 


首先 ，/dev/ 目 录 中 保存 的 应 当 是 硬件 设备 文件 ; 其 次 ，sd 表示 是 存储 设备 ; 然后 ，a 表 
示 系 统 中 同类 接口 中 第 一 个 被 识别 到 的 设备 , 最 后 , 5 表示 这 个 设备 是 一 个 逻辑 分 区 。 一 言 以 
英之 ,“/dev/sda5” 表 示 的 就 是 “这 是 系统 中 第 一 块 被 识别 到 的 硬件 设备 中 分 区 编号 为 5 的 逻 
辑 分 区 的 设备 文件 ”。 考 虑 到 我 们 的 很 多 读者 完全 没有 Linux 基础 ， 不 太 容 易 理 解 前 面 所 说 的 
主 分 区 、 扩 展 分 区 和 逻辑 分 区 的 概念 ， 因 此 接 下 来 简单 科普 一 下 硬盘 相关 的 知识 。 

正 是 因为 计算 机 有 了 硬盘 设备 ,我们 才 可 以 在 玩 游戏 的 过 程 中 或 游戏 通关 之 后 随时 存档 ， 
而 不 用 每 次 重头 开始 。 硬 盘 设 备 是 由 大 量 的 扇 区 组 成 的 ， 每 个 鹿 区 的 容量 为 512 字 节 。 其 中 
第 一 个 记 区 最 重要 ， 它 里 面 保存 着 主 引导 记录 与 分 区 表 信息 。 就 第 一 个 扇 区 来 讲 ， 主 引导 记 
录 需 要 占用 446 字 节 , 分 区 表 为 64 字 节 ,结束 符 占 用 2 字 节 ; 其 中 分 区 表 中 每 记录 一 个 分 区 
言 息 就 需要 16 字 节 ,这 样 一 来 最 多 只 有 4 个 分 区 信息 可 以 写 到 第 一 个 鹿 区 中 , 这 4 个 分 区 就 
是 4 个 主 分 区 。 第 一 个 扇 区 中 的 数据 信息 如 图 6-3 所 示 。 
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分 | 分 
主 引 导 记 录 (Master Boot Record ，MBR ) EE 
3 | 4 








































































































图 6-3 ”第 一 个 扇 区 中 的 数据 信息 























现在 ,问题 来 了 一 第 一 个 户 区 最 多 只 能 创建 出 4 个 分 区 ?于 是 为 了 解决 分 区 个 数 不 够 





116 


6.3 ”文件 系统 与 数据 资料 


的 问题 ,可 以 将 第 一 个 扇 区 的 分 区 表 中 16 字 节 (原本 要 写 入 主 分 区 信息 ) 的 空间 ( 称 之 为 扩 
展 分 区 ) 拿 出 来 指向 男 外 一 个 分 区 。 也 就 是 说 ， 扩 展 分 区 其 实 并 不 是 一 个 真正 的 分 区 ， 而 更 
像 是 一 个 占用 16 字 节 分 区 表 空 间 的 指针 一 一 一 个 指向 为 外 一 个 分 区 的 指针 。 这 样 一 来 ， 用户 
一 般 会 选择 使 用 3 个 主 分 区 加 1 个 扩展 分 区 的 方法 , 然后 在 扩展 分 区 中 创建 出 数 个 逻辑 分 区 ， 
从 而 来 满足 多 分 区 ( 大 于 4 个 ) 的 需求 。 当 然 ， 就 目前 来 讲 大 家 只 要 明白 为 什么 主 分 区 不 能 
超过 4 个 就 足够 了 。 主 分 区 、 扩 展 分 区 、 逻 辑 分 区 可 以 像 图 6-4 那样 来 规划 。 


Ey 
所 谓 扩展 分 区 ， 严 格 地 讲 它 不 是 一 个 实际 意义 的 分 区 ， 它 仅仅 是 一 个 指向 下 一 个 
分 区 的 指针 ， 这 种 指针 结构 将 形成 一 个 单 向 链表 。 


第 1 个 主 分 区 | | 第 2 个 主 分 区 | | 第 3 个 主 分 区 











第 1 个 逻辑 分 区 | | 第 2 个 逻辑 分 区 
/dev/sda5 /dev/sda6 


图 6-4 ”硬盘 分 区 的 规划 








区 到 


读者 可 以 试 着 解读 一 下 /dev/sdb8 的 意思 。 


| 6.3 文件 系统 与 数据 资料 








用 户 在 硬件 存储 设备 中 执行 的 文件 建立 、 写 入 、 读 取 、 修 改 、 转 存 与 控制 等 操作 都 是 依 
靠 文件 系统 来 完成 的 。 文 件 系统 的 作用 是 合理 规划 硬盘 ， 以 保证 用 户 正常 的 使 用 需求 。Linux 
系统 支持 数 十 种 的 文件 系统 ， 而 最 常见 的 文件 系统 如 下 所 示 。 
> Ext3: 是 一 款 日 志文 件 系统 ， 能 够 在 系统 异常 穷 机 时 避免 文件 系统 资料 丢失 ， 并 
能 自动 修复 数据 的 不 一 致 与 错误 。 然 而 ， 当 硬盘 容量 较 大 时 ， 所 需 的 修复 时 间 也 
会 很 长 ， 而 且 也 不 能 百分之百 地 保证 资料 不 会 丢失 。 它 会 把 整个 磁盘 的 每 个 写 人 
动作 的 细节 都 预先 记录 下 来 , 以便 在 发 生 异 常 宕 机 后 能 回溯 追踪 到 被 中 断 的 部 分 ， 
然后 尝试 进行 修复 。 
> Ext4: Ext3 的 改进 版 本 ,作为 RHEL 6 系统 中 的 默认 文件 管理 系统 , 它 支 持 的 存储 容 
量 高 达 1EB ( 1EB=1,073,741,824GB )， 且 能 够 有 无 限 多 的 子 目 录 。 另 外 ，Ext4 文件 系 
统 能 够 批量 分 配 block 块 ， 从 而 极 大 地 提高 了 读 写 效率 。 

> XFS: 是 一 种 高 性 能 的 日 志文 件 系统 ， 而 且 是 RHEL 7 中 默认 的 文件 管理 系统 ， 它 的 
优势 在 发 生意 外 宕 机 后 尤其 明显 ， 即 可 以 快速 地 恢复 可 能 被 破坏 的 文件 , 而 且 强 大 的 
日 志 功 能 只 用 花费 极 低 的 计算 和 存储 性 能 。 并 且 它 最 大 可 支持 的 存储 容量 为 18EB， 
这 几乎 满足 了 所 有 需求 。 
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RHEL 7 系统 中 一 个 比较 大 的 变化 就 是 使 用 了 XFS 作为 文件 系统 ， 这 不 同 于 RHEL 6 使 
用 的 Ext4。 从 红 帽 公司 官方 发 布 的 说 明 来 看 ， 这 确实 是 一 个 不 小 的 进步 ， 但 是 刘 邀 老师 在 实 
测 中 发 现 并 不 完全 属实 。 因 为 单纯 就 测试 一 款 文件 系统 的 “ 读 取 ”性 能 来 说 ， 到 底 要 读 取 多 
少 个 文件 ， 每 个 文件 的 大 小 是 多 少 ， 读 取 文 件 时 的 CPU、 内 存 等 系统 资源 的 占用 率 如 何 ， 以 
及 不 同 的 硬件 配置 是 否 会 有 不 同 的 影响 ， 因 此 在 充分 考虑 到 这 些 不 确定 因素 后 ， 实 在 不 敢 直 
接 照抄 红 帽 官方 的 介绍 。 我 个 人 认为 XFS 虽然 在 性 能 方面 比 Ext4 有 所 提升 , 但 绝 不 是 压倒 性 
的 ， 因 此 XFS 文件 系统 最 卓越 的 亮点 应 该 当 属 可 支持 高 达 18EB 的 存储 容量 吧 。 

就 像 拿 到 了 一 张 未 裁 切 的 完整 纸张 那样 , 我 们 首先 要 进行 裁 切 以 方便 使 用 , 然后 在 裁 切 后 
的 纸张 上 画 格 以 便 能 书写 工整 。 在 拿 到 了 一 块 新 的 硬盘 存储 设备 后 ， 也 需要 先 分 区 ， 然 后 再 格 
式 化 文件 系统 ,最 后 才能 挂 载 并 正常 使 用 ,硬盘 的 分 区 操作 取决 于 您 的 需求 和 硬盘 大 小 ; 您 也 
可 以 选择 不 进行 分 区 , 但 是 必须 对 硬盘 进行 格式 化 处 理 。 接 下 来 刘 遂 老师 再 向 大 家 简单 地 科普 
一 下 硬盘 在 格式 化 后 发 生 的 事情 。 再 次 强调 ， 不 用 刻意 去 记 住 ， 只 要 能 看 懂 就 行 了 。 

日 常 在 硬盘 需要 保存 的 数据 实在 太 多 了 ,因此 Linux 系统 中 有 一 个 名 为 super block 的 “ 便 
盘 地 图 ”。Linux 并 不 是 把 文件 内 容 直 接 写 入 到 这 个 “硬盘 地 图 ”里 面 ， 而 是 在 里 面 记录 着 整 
个 文件 系统 的 信息 。 因 为 如 果 把 所 有 的 文件 内 容 都 写 人 到 这 里 面 ， 它 的 体积 将 变 得 非常 大 ， 
而 且 文 件 内 容 的 查询 与 写 人 速度 也 会 变 得 很 慢 。Linux 只 是 把 每 个 文件 的 权限 与 属性 记录 在 
inode 中 ， 而 且 每 个 文件 占用 一 个 独立 的 inode 表格 ， 该 表格 的 大 小 默认 为 128 字 节 ， 里 面 记 
录 着 如 下 信息 : 

> 该 文件 的 访问 权限 (read 、write 、execute ); 

该 文件 的 所 有 者 与 所 属 组 ( owner、group ); 
该 文件 的 大 小 ( size ); 

该 文件 的 创建 或 内 容 修改 时 间 (ctime ); 
该 文件 的 最 后 一 次 访问 时 间 (atime ); 

该 文件 的 修改 时 间 ( mtime ); 
文件 的 特殊 权限 (SUID 、SGID 、SBIT ); 

> 该 文件 的 真实 数据 地 址 (point )。 

而 文件 的 实际 内 容 则 保存 在 block 块 中 (大 小 可 以 是 IKB 、2KB 或 4KB )， 一 个 inode 的 
默认 大 小 仅 为 128B (Ext3 )， 记 录 一 个 block 则 消耗 4B。 当 文件 的 inode 被 写 满 后 ，Linux 系 
统 会 自动 分 配 出 一 个 block 块 ， 专 门 用 于 像 inode 那样 记录 其 他 block 块 的 信息 ， 这 样 把 各 个 
block 块 的 内 容 串 到 一 起 ， 就 能 够 让 用 户 读 到 完整 的 文件 内 容 了 。 对 于 存储 文件 内 容 的 block 
块 ， 有 下 面 两 种 常见 情况 ( 以 4KB 的 block 大 小 为 例 进行 说 明 )。 

> 情况 1: 文件 很 小 ( 1KB )， 但 依然 会 占用 一 个 block， 因 此 会 潜在 地 浪费 3KB。 

> 情况 2: 文件 很 大 (5KB )， 那 么 会 占用 两 个 block ( 5KB-4KB 后 剩 下 的 1KB 也 要 占 

用 一 个 block )。 

计算 机 系统 在 发 展 过 程 中 产生 了 众多 的 文件 系统 ， 为 了 使 用 户 在 读 取 或 写 入 文件 时 不 用 
关心 底层 的 硬盘 结构 , Linux 内 核 中 的 软件 层 为 用 户 程序 提供 了 一 个 VFS( Virtual File System ， 
虚拟 文件 系统 ) 接口 ， 这 样 用 户 实际 上 在 操作 文件 时 就 是 统一 对 这 个 虚拟 文件 系统 进行 操作 
了 。 图 6-5 所 示 为 VFS 的 架构 示意 图 。 从 中 可 见 ， 实 际 文件 系统 在 VFS 下 隐藏 了 自己 的 特性 
和 细节 ， 这 样 用 户 在 日 常 使 用 时 会 觉得 “文件 系统 都 是 一 样 的 ”， 也 就 可 以 随意 使 用 各 种 命令 
在 任何 文件 系统 中 进行 各 种 操作 了 比如 使 用 cp 命令 来 复制 文件 )。 
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6.4 挂 载 硬件 设备 


用 户 进程 用 户 界面 


系统 调用 界面 


虚拟 文件 系统 (VFS) 





上 内核 





FE NE Sas i 
: 
' i 

缓存 

? 


系统 驱动 程序 


磁盘 设备 控制 器 硬件 层 





图 6-5 ”VFS 的 架构 示意 图 





| 6.4 ” 挂 载 硬 件 设备 











我 们 在 用 惯 了 Windows 系统 后 总 觉得 一 切 都 是 理所当然 的 , 平时 把 U 盘 插 和 到 电脑 后 
也 从 来 没有 考虑 过 Windows 系统 做 了 哪些 事情 ， 才 使 得 我 们 可 以 访问 这 个 U 盘 的 。 接 下 来 
我 们 会 逐一 学 习 在 Linux 系统 中 挂 载 和 钊 载 存储 设备 的 方法 , 以 便 大 家 更 好 地 了 解 Linux 系 
统 添加 硬件 设备 的 工作 原理 和 流程 。 前 面 讲 到 ， 在 拿 到 一 块 全 新 的 硬盘 存储 设备 后 要 先 分 
区 ， 然 后 格式 化 ， 最 后 才能 挂 载 并 正常 使 用 。“ 分 区 ”和 “格式 化 ”大 家 以 前 经 常 听 到 ， 但 
“ 挂 载 ” 又 是 什么 呢 ? 刘 递 老师 在 这 里 给 您 一 个 最 简单 、 最 贴切 的 解释 一 一 当 用 户 需要 使 用 
硬盘 设备 或 分 区 中 的 数据 时 ， 需 要 先 将 其 与 一 个 已 存在 的 目录 文件 进行 关联 ， 而 这 个 关联 
动作 就 是 “ 挂 载 "。 下 文 将 向 读者 逐步 讲解 如 何 使 用 硬盘 设备 ， 但 是 鉴于 与 挂 载 相关 的 理论 
知识 比较 复杂 ， 而 且 很 重要 ， 因 此 决定 再 拿 出 一 个 小 节 单独 讲解 ， 这 次 希望 大 家 不 仅 要 看 
懂 ， 而 且 还 要 记 住 。 


















































6.4.1 mount 命令 


mount 命令 用 于 挂 载 文件 系统 ， 格 式 为 “mount 文件 系统 挂 载 目 录 ”。mount 命令 中 可 
用 的 参数 及 作用 如 表 6-3 所 示 。 挂 载 是 在 使 用 硬件 设备 前 所 执行 的 最 后 一 步 操作 。 只 需 使 用 
mount 命令 把 硬盘 设备 或 分 区 与 一 个 目录 文件 进行 关联 ， 然 后 就 能 在 这 个 目录 中 看 到 硬件 设 
备 中 的 数据 了 。 对 于 比较 新 的 Linux 系统 来 讲 ,一般 不 需要 使 用 -t 参数 来 指定 文件 系统 的 类 型 ， 
Linux 系统 会 自动 进行 判断 。 而 mount 中 的 -a 参数 则 厉害 了 , 它 会 在 执行 后 自动 检查 /etc/fstab 
文件 中 有 无 玻 漏 被 挂 载 的 设备 文件 ， 如 果 有 ， 则 进行 自动 挂 载 操作 。 
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表 6-3 mount 命令 中 的 参数 以 及 作用 
参数 作用 
-a 挂 载 所 有 在 /etc/fstab 中 定义 的 文件 系统 
-t 指定 文件 系统 的 类 型 




















例如 ， 要 把 设备 /dev/sdb2 挂 载 到 /backup 目录 ， 只 需要 在 mount 命令 中 填写 设备 与 挂 载 目录 
参数 就 行 ， 系 统 会 自动 去 判断 要 挂 载 文件 的 类 型 ， 因 此 只 需要 执行 下 述 命令 即 可 : 


























[root@linuxprobe ~]# mount /dev/sdb2 /backup 





虽然 按照 上 面 的 方法 执行 mount 命令 后 就 能 立即 使 用 文件 系统 了 ,但 系统 在 重启 后 挂 




















载 就 会 失效 ,也 就 是 说 我 们 需要 每 次 开机 后 都 手动 挂 载 一 下 。 这 肯定 不 是 我 们 想 要 的 效果 ， 
如 果 想 让 硬件 设备 和 目录 永久 地 进行 自动 关联 ， 就 必须 把 挂 载 信 息 按照 指定 的 填写 格式 
“设备 文件 挂 载 目 录 格式 类 型 权限 选项 自 检 优先 级 ”( 各 字段 的 意义 见 表 6-4 ) 写 入 到 
/etc/fstab 文件 中 。 这 个 文件 中 包含 着 挂 载 所 需 的 诸多 信息 项 目 , 一 旦 配置 好 之 后 就 能 一 劳 




















































































































永 逸 了 。 
表 6-4 用 于 挂 载 信息 的 指定 填写 格式 中 ， 各 字段 所 表示 的 意义 
设备 文件 一 般 为 设备 的 路 径 + 设 备 名 称 , 也 可 以 写 唯一 识别 码 (UUID, Universally Unique Identifier ) 
挂 载 目录 指定 要 挂 载 到 的 目录 ， 需 在 挂 载 前 创建 好 
格式 类 型 指定 文件 系统 的 格式 ， 比 如 Ext3、Ext4、XFS、SWAP、iso9660 ( 此 为 光盘 设备 ) 等 
权限 选项 和 若 设置 为 defaults ， 则 默认 权限 为 : rw, suid, dev, exec, auto, nouser, async 
自 检 若 为 1 则 开机 后 进行 磁盘 自 检 ， 为 0 则 不 自 检 
优先 级 若 “ 自 检 ” 字 有 段 为 1， 则 可 对 多 块 硬盘 进行 自 检 优先 级 设置 





























如 果 想 将 文件 系统 为 ext4 的 硬件 设备 /dev/sdb2 在 开机 后 自动 挂 载 到 /backup 目录 上 ， 并 





保持 默认 权限 且 无 需 开 机 自 检 ， 就 需要 在 /etc/fstab 文件 中 写 人 下 面 的 信息 ， 这 样 在 系统 重启 


后 也 会 成 功 挂 载 。 








/etc/fstab 








root@linuxprobe ~]# vim /etc/fstab 


Created by anaconda on Wed May 4 19:26:23 2017 


Accessible filesystems, by reference, are maintained under '/dev/disk' 
See man pages fstab(5), findfs(8), mount (8) and/or blkid(8) for more info 


/dev/mapper/rhel-root / xfs defaults el 
UUID=812b1f7c-8b5b-43da-8c06-b9999e0fe48b /boot xfs defaults 12 
/dev/mapper /rhel-swap swap swap defaults 0 0 
/dev/cdrom /media/cdrom iso9660 defaults 0 0 
/dev/sdb2 /backup ext4 defaults 0 0 





6.4.2 umount 命令 








umount 命令 用 于 撤销 已 经 挂 载 的 设备 文件 ， 格 式 为 “umount [ 挂 载 点 /设备 文件 ”。 我 们 
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挂 载 文件 系统 的 目的 是 为 了 使 用 硬件 资源 , 而 印 载 文件 系统 就 意味 不 再 使 用 硬件 的 设备 资源 ; 
相对 应 地 ， 挂 载 操 作 就 是 把 硬件 设备 与 目录 进行 关联 的 动作 ， 因 此 钊 载 操作 只 需要 说 明 想 要 
取消 关联 的 设备 文件 或 挂 载 目录 的 其 中 一 项 即 可 ， 一 般 不 需要 加 其 他 额外 的 参数 。 我 们 来 尝 
试 手动 秃 载 掉 /dev/sdb2 设备 文件 : 








[root@linuxprobe ~]# umount /dev/sdb2 
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根据 前 文 讲解 的 与 管理 硬件 设备 相关 的 理论 知识 , 我 们 先 来 理 清 一 下 添加 硬盘 设备 的 
操作 思路 : 首先 需要 在 虚拟 机 中 模拟 添加 入 一 块 新 的 硬盘 存储 设备 ,然后 再 进行 分 区 、 格 
式 化 、 挂 载 等 操作 , 最 后 通过 检查 系统 的 挂 载 状 态 并 真实 地 使 用 硬盘 来 验证 硬盘 设备 是 否 
成 功 添加 。 

鉴于 我 们 不 需要 为 了 做 这 个 实验 而 特意 买 一 块 真实 的 硬盘 ， 而 是 通过 虚拟 机 软件 进行 硬 
件 模拟 ， 因 此 这 再 次 体现 出 了 使 用 虚拟 机 软件 的 好 处 。 具 体 的 操作 步骤 如 下 。 

首先 把 虚拟 机 系统 关机 , 稍 等 儿 分 钟 会 自动 返回 到 虚拟 机 管理 主 界面 , 然后 单 击 “ 编 
辑 虚 拟 机 设置 ”选项 , 在 弹出 的 界面 中 单 击 “ 添 加 ”按钮 ， 新 增 一 块 便 件 设备 ， 如 图 6-6 
所 示 。 


四 红 柜 企业 所 RHFI 

























































































文件 四 。 押 款 (E] 下 宪 (V) 去 汶 WMMI 还 册 FOD 帮 % | 也 ~ IE 8 区 -到 | 
座 - = | 
-= = | 分 页 *| 旺 红 相 企 业 版 phely_ xa6_ es 福生 | 让 对 
Q、 在 此 外 得 入 央 容 进行 二 a 
[ 二 1] 红 帆 企业 版 RHEL7_x86_61| | a 和 要 内 让 
四 ET 内 en 指定 分 醒 给 此 虐 檬 机 的 内 存量 。 内 看 大 小 必须 为 4 MB 
呈 ) 红 用 企业 KKRHEL7 _xB b> 开 记 机 口外 再 的 售 直 。 
Rhel6-1 Tm rte: 
ss 怠 证 岛 (SCSI) 20 G8 My 的 内 存 (MM): 2048 司 Me 
TP Rd CD/DVD (SATA) 。 正在 合用 文件 D: 请 炮 VRHELsarvef-.。 SR 
”设备 A 保 主机 村 式 pt 
Ce 268N 内 自动 检 nm 
[| 1 三 打 E0 机 存在 I 局 
已 弄 和 scST 2066 屈 t 示 各 自动 检 训 a uv 最大 六 溢 内 存 
jCD/DVD (SATA] 4® nn 
册 网络 ;3 醒 关 T 6230 MB 
图 Use 芝 引 时 es 
属 声卡 厨 建议 内 存 
256 MB 
CE i 2048 MB 
再 于 地 > 
ee 人 己 好 说 的 最 小 罕 户 愉 操作 系 综 由 存 
1024 MB 
~ 交还 i 
此 旭 镁 入 对 渗 店 各 胞 刹 撕 还 pi 
+MB 
天 蚊 民 机 如 闲 交 此 内 存 的 768 MB 用 作 尖 形 庙 存 。 候 可 以 
在 显示 器 设置 页 桓 中 更 隐 此 独 量 * 
加 添加 (A).. {oR 
机 [we |[ mn HM | 

















图 6-6 在 虚拟 机 系统 中 添加 硬件 设备 


选择 想 要 添加 的 硬件 类 型 为 “硬盘 ”， 然 后 单 击 “ 下 一 步 ” 按 钮 就 可 以 了 ， 这 确实 没有 什 
么 需要 进一步 解释 的 ， 如 图 6-7 所 示 。 

选择 虚拟 硬盘 的 类 型 为 SCSI ( 默认 推荐 )， 并 单 击 “下 一 步 ” 按 钮 ， 这 样 虚拟 机 中 的 设 
备 名 称 过 一 会 儿 后 应 该 为 /dev/sdb， 如 图 6-8 所 示 。 
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虚拟 机 设置 0 
硬件 | 选项 
设备 
本 内 存 必须 为 4 MB 
辐 处 理 器 
届 神 盘 (SCSJ) 
名 cojovo ( 硬件 类 型 
央 网 络 矣 本 您 要 安装 哪 类 硬件 ? 
图 use 控制 
汉 训 和 硬件 类 型 : 
加 显示 器 
后 CD/DVD 驱动 器 
园 软盘 驱动 器 
刚 网 络 适配器 
图 UsB 控制 器 
风声 卡 
回 并 行 端 吕 
国 串 行 端 吕 
起 打印 机 | 展 作 系统 内 存 
图 通用 SCSI 设 备 
的 存 。 您 可 以 
< 上 - 步 6) | 
国 添 加 (A).… 移 除 (R) 
帮助 
图 6-7 选择 添加 硬件 类 型 
虚拟 机 设置 |= 
硬件 | 选项 
设备 摘要 | 内 存 
人 指定 分 配给 此 虚拟 机 的 内 存量 。 内 存 大 小 必须 为 4 MB 
辐 处理 器 。 ”| 添加 硬件 向 导 医 : 融 
号 神 盖 (505) | | 。 选择 磋 盘 类 型 
CD/DVD (SI 3 
罗网 络 泛 Ei 您 要 创建 何 种 磁盘 ? 
FE 控制 器 
| 声卡 以 谤 盘 类 型 
起 打印 机 a 0 
加 显示 器 © DE(D 
加 SCSI(S) (推荐 ) 
© SATA(A) 
模式 
本 独立 (D) 
独立 磁盘 不 受 快 昭 最 向 。 
@© 永 久 (P) 中 曝 作 系统 内 存 
所 做 更 改 立 即 永久 写 
非 永久 (0) 
关闭 或 还 原 快照 后 ， 对 磁盘 所 做 的 更 改 将 被 放弃 
彤 内 存 。 您 可 以 
[< 上 = 步 (89) | | 下- 步 (N)> | | 取消 | 
国 添 加 (A).… 移 除 (R) 
者 助 
图 6-8 选择 硬盘 设备 类 型 


选中 “创建 新 虚拟 磁盘 ” 单 选 按钮 ， 而 不 是 其 他 选项 ， 再 次 单 击 “ 下 一 步 ” 按 钮 ， 如 图 


6-9 所 示 。 
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6. 与 添加 硬盘 设备 盏 
虚拟 机 设置 上 
硬件 | 选项 
设备 
画 内 存 了 中 必须 为 4 MB 
器 处 理 器 | 活 hn 硬 件 向 导 
Saeed] as 
ms Vey 
四 同 各 本 吕 您 要 使 用 哪个 磁盘 ? 
人 控制 器 
) 声 卡 磋 
号 打印 机 了 
辕 蝇 示 器 回 创建 新 虚拟 磁盘 (V) 
虚拟 磁盘 由 主机 文件 系统 上 的 一 个 或 多 个 文件 组 成 客户 机 操作 系统 会 将 其 视 为 单 
个 硬盘 。 虚 拟 辜 盘 可 在 一 人 主机 上 或 多 台 主 机 之 间 轻 松 复 制 或 移动 。 
日 使 用 现 有 虚拟 磁盘 (E) 
选择 此 选项 将 重新 使 用 之 前 配置 的 磁盘 。 
日 使 用 物理 碰 盘 (适用 于 高 级 用 户 )(P) 
选择 此 选项 将 为 虚拟 机 提供 直接 访问 本 地 硬盘 的 权限 。 | 殿 作 系统 内 存 
用 纳 存 。 您 可 以 
转 添 加 (A):s | | 移 除 (R) 
都 且 








将 “最 大 磁盘 大 小 ”设置 为 默认 的 20GB。 这 个 数值 是 限制 这 


盘 空间 ， 而 不 是 立即 将 其 填 满 
所 示 。 





图 6-9 选择 “创建 新 虚拟 磁盘 ”选项 





台 虚 拟 机 所 使 用 的 最 大 硬 


满 ， 因 此 默认 20GB 就 很 合适 了 。 单 击 “ 下 一 步 ” 按 钮 ， 如 图 6-10 


























刚 网 络 适配器 


指定 磁盘 容量 
磁盘 大 小 为 多 少 ? 





最 大 磁盘 大 小 (GB)(S): 


针对 Red Hat Enterprise Linux 7 64 位 的 建议 大 小 : 20 GB 





20.0 息 











立即 分 配 所 有 磁盘 空 


间 (A)。 


分 本 所 有 容 里 可 以 提高 性 能 ， 但 要 求 所 有 物理 磁盘 : 


空间 立即 可 用 。 如 果 不 立即 分 配 


所 有 空间 ， 虚 拟 磁盘 的 空间 最 初 很 小 ， 会 随 着 您 向 其 中 添加 数据 而 不 断 变 大 。 


名 将 虚拟 磁盘 存储 为 单个 文件 (0) 
回 将 虚拟 磁盘 拆 分 成 多 个 文件 (M) 


玫 朋 作 系统 内 存 








Ep 可 以 更 轻松 地 在 计算 机 之 间 移动 虚拟 机 ， 但 可 能 会 降低 大 容量 磁盘 的 
性 能 。 





_| 葬 存 。 您 可 以 
取消 | 








<-$(8) | [F-—(N)> | | 









































| 
EE 
图 6-10 设置 硬盘 的 最 大 使 用 空间 


设置 磁盘 文件 的 文件 名 和 保存 位 置 (这 


成 ”按钮 ， 如 图 6-11 所 示 。 





这 里 采用 默认 设置 即 可 ,无 需 修改 )， 直接 单 击 “ 完 
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虚拟 机 设置 一 党 
硬件 选项 
二 小 必须 为 4 MB 
口 处 理 器 
二 春生 (5C5| | 文件 
局 cD/Dvp ( 
和 您 要 在 何 处 存 舍 碰 盘 文件 ? 
图 use 控制 器 
说 盘 文件 (F) 
打印 机 将 为 每 2 68 客 蜂 的 虚拟 磁盘 创建 一 个 磁盘 文件 。 除 第 一 个 文件 之 外 ， 每 个 文件 的 文件 
呈 示 器 名 多 将 根据 此 处 提供 的 文件 名 自动 生成 。 | 
文件 名 : 。“” 红 帽 企 业 版 RHEL7_x86_64-0.vmdk 
| 慑 作 系统 内 存 
j 的 看 。 季 可 以 
< 上 一 步 (B) 完成 取消 
添加 (A).… 移 除 (R) 
图 6-11 设置 磁盘 文件 的 文件 名 和 保存 位 置 








将 新 硬盘 添加 好 后 就 可 以 看 到 设备 信息 了 
按钮 后 就 可 以 开启 虚拟 机 了 ， 如 图 6-12 所 示 。 


。 这 里 不 需要 做 任何 修改 ， 直 接 单 击 “ 确 认 ” 






























































庶 拟 机 设置 i 
硬件 | 选项 
设备 摘要 磁盘 文件 
内 各 2GB 红 巾 企业 版 RHEL7_X86_64-0vmdk 
加 处 理 器 1 
局 硬盘 (SCS1) 20 6B 容量 
全 Dovb CAT 下 信件 Di 人 \RHEL A 
2 + : -Server-… 
刚 网 络 适配器 仅 主机 模式 系统 可 用 空间 : 48.8 GB 
USB 控制 器 存在 最 大 大 小 : 20 GB 
四 声卡 自动 检 列 
由 打印 机 存在 而 各 信息 Er 
司 显 示 器 自动 检测 没有 为 此 硬盘 预 分 本 磁盘 空间 。 
硬盘 内 容 存储 在 多 个 文件 中 。 
磁盘 实用 工具 
Y [ 映 竺 (M)..， 
里 文 件 碎 片 并 整合 可 用 空间 。 他 | 碎片 整理 (D) 
扩展 磁盘 容量 。 扩展 (E)… 
上 E 缩 磁盘 以 回收 未 使 用 的 空 i 有 压缩 (C) 
高 级 (V).… 
加 添加 (A).… 移 除 (R) 
[这 [了 消 ][( 寺 
图 6-12 查看 虚拟 机 硬件 设置 信息 


在 虚拟 机 中 模拟 添加 了 硬盘 设备 后 就 应 该 能 看 到 抽象 成 的 硬盘 设备 文件 了 。 按 照 前 文 讲 
解 的 udev 服务 命名 规则 ,第 二 个 被 识别 的 SCSI 设备 应 该 会 被 保存 为 /dev/sdb， 这 个 就 是 硬盘 
设备 文件 了 。 但 在 开始 使 用 该 硬盘 之 前 还 需要 进行 分 区 操作 ,例如 从 中 取出 一 个 2GB 的 分 区 


设备 以 供 后 面 的 操作 使 用 。 
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6.5 


在 Linux 系统 中 ， 管 理 硬盘 设备 最 常用 的 方法 就 当 属 fdisk 命令 了 。fdisk 命令 用 于 管理 磁盘 





6.5 添加 硬盘 设备 一 


.1 fdisk 命令 




















分 区 ,格式 为 “fdisk [磁盘 名 称 ”， 它 提供 了 集 添 加 、 删 除 、 转 换 分 区 等 功能 于 一 身 的 “一 站 式 
分 区 服务 ”。 不 过 与 前 面 讲解 的 直接 写 到 命令 后 面 的 参数 不 同 ， 这 条 命令 的 参数 ( 见 表 6-5 ) 是 交 


























互 式 的 ， 因 此 在 管理 硬盘 设备 时 特别 方便 ， 可 以 根据 需求 动态 调整 




























































































表 6-5 fdisk 命令 中 的 参数 以 及 作用 
参数 作用 
m 查看 全 部 可 用 的 参数 
n 添加 新 的 分 区 
Q 删除 某 个 分 区 信息 
1 列 出 所 有 可 用 的 分 区 类 型 
六 改变 某 个 分 区 的 类 型 
p 查看 分 区 信息 
w 保存 并 退出 
q 不 保存 直接 退出 


























我 们 首先 使 用 fdisk 命令 来 尝试 管理 /dev/sdb 硬盘 设备 。 在 看 到 提示 信息 后 输入 参数 p 来 


查看 硬盘 设备 内 已 有 的 分 区 信息 ， 其 中 包括 了 硬盘 的 容量 大 小 、 扇 区 个 数 等 信息 : 














[root@linuxprobe ~]# fdisk /dev/sdb 

Welcome to fdisk (util-linux 2.23.2). 

Changes will remain in memory only, until you decide to write them. 
Be careful before using the write command. 

Device does not contain a recognized partition table 
Building a new DOS disklabel with disk identifier 0x47d24a34. 
Command (m for help): P 

Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors 
Units = sectors of 1 * 512 = 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 

I/O size (minimum/optimal): 512 bytes / 512 bytes 

Disk label type: dos 

Disk identifier: 0x47Qq24a34 

Device Boot Start End Blocks Idq System 








是 输 














输入 参数 n 尝试 添加 新 的 分 区 。 系 统 会 要 求 您 是 选择 继续 输入 参数 p 来 创建 主 分 区 ， 还 
人 参数 e 来 创建 扩展 分 区 。 这 里 输入 参数 p 来 创建 一 个 主 分 区 : 








Command (m for help): n 

Partition type: 

p primary (0 primary, 0 extended, 4 free) 
e extended 

Select (default p): P 




















在 确认 创建 一 个 主 分 区 后 ， 系统 要 求 您 先 输入 主 分 区 的 编号 。 我 们 在 前 文 得 知 ， 主 分 区 的 编 





| Ne 

















图 是 1~4， 因 此 这 里 输入 默认 的 1 就 可 以 了 。 接 下 来 系统 会 提示 定义 起 始 的 扇 区 位 置 ， 这 不 





号 
需要 














改动 ， 我 们 敲 击 回 车 键 保留 默认 设置 即 可 ， 系 统 会 自动 计算 出 最 靠 前 的 空闲 扇 区 的 位 置 。 最 








125 


存储 结构 与 磁盘 划分 


后 ， 























系统 会 要 求 定义 分 区 的 结束 扇 区 位 置 ， 这 其 实 就 是 要 去 定义 整个 分 区 的 大 小 是 多 少 。 我 们 不 





用 去 计算 扇 区 的 个 数 ， 只 需要 输入 +2G 即 可 创建 出 一 个 容量 为 2GB 的 硬盘 分 区 。 





Partition number (1-4, default 1): 1 

First sector (2048-41943039，default 2048) :此 处 敲 击 回 车 

Using default value 2048 

Last sector, +sectors or +size{K,M,G} (2048-41943039, default 41943039): +2G 
Partition 1 of type Linux and of size 2 GiB is set 





再 次 使 用 参数 p 来 查看 硬盘 设备 中 的 分 区 信息 。 果 然 就 能 看 到 一 个 名 称 为 /devsdb1l 、 起 








始 扇 区 位 置 为 2048 、 结 束 扇 区 位 置 为 4196351 的 主 分 区 了 。 这 时 候 千 万 不 要 直接 关闭 窗口 ， 
而 应 该 敲 击 参数 w 后 回 车 ， 这 样 分 区 信息 才 是 真正 的 写 入 成 功 啦 。 





Command (m for help): P 

Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors 
Units = sectors of 1 * 512 = 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk label type: dos 

Disk identifier: 0x47d24a34 

Device Boot Start End Blocks Id System 

/dev/sdbl1 2048 4196351 2097152 83 Linux 

Command (m for help): w 

The partition table has been altered! 

Calling ioctl() to re-read partition table. 

Syncing disks. 





件 。 


在 上 述 步 又 执行 完毕 之 后 ，Linux 系统 会 自动 把 这 个 硬盘 主 分 区 抽象 成 /dev/sdb1 设备 文 
我 们 可 以 使 用 file 命令 查看 该 文件 的 属性 ， 但 是 刘 递 老师 在 讲课 和 工作 中 发 现 ， 有 些 时 
































候 系统 并 没有 自动 把 分 区 信息 同步 给 Linux 内 核 ， 而 且 这 种 情况 似乎 还 比较 常见 但 不 能 
作 是 严重 的 bug )。 我 们 可 以 输入 partprobe 命令 手动 将 分 区 信息 同步 到 内 核 ,而且 一 般 推荐 连 
续 两 次 执行 该 命令 , 效果 会 更 好 。 如 果 使 用 这 个 命令 都 无 法 解决 问题 ,那么 就 重启 计算 机 吧 ， 
这 个 杀手 铜 百 试 百灵 ， 一 定 会 有 用 的 。 





























[root@linuxprobe ]# file /dev/sdbl 

/dev/sdbl: cannot open (No such file or directory) 
[root@linuxprobe ]# partprobe 

[root@linuxprobe ]# partprobe 

[root@linuxprobe ]# file /dev/sdbl 

/dev/sdbl: block special 





在 对 存储 设备 进行 分 区 后 还 需要 进行 格式 化 操作 。 在 Linux 系统 中 用 于 格式 化 操作 的 命令 是 

















如 果 硬 件 存储 设备 没有 进行 格式 化 , 则 Linux 系统 无 法 得 知 怎么 在 其 上 写 人 数据 。 因 此 ， 





























mkfs。 这 条 命令 很 有 意思 , 因为 在 Shell 终端 中 输入 mkfs 名 后 再 敲 击 两 下 用 于 补 齐 命令 的 Tab 




















键 ， 会 有 如 下 所 示 的 效果 : 
[root@linuxprobe ~]# mkfs 
mkfs mkfs.cramfs mkfs.ext3 mkfs.fat mkfs.msdos mkfs.xfs 
mkfs.btrfs mkfs.ext2 mkfs .ext4 mkfs.minix mkfs.vfat 





对 ! 这 个 mkfs 命令 很 贴心 地 把 常用 的 文件 系统 名 称 用 后 缀 的 方式 保存 成 了 多 个 命令 文 








件 , 用 起 来 也 非常 简单 一 一 mkfs. 文 件 类 型 名 称 。 例 如 要 格式 分 区 为 XFS 的 文件 系统 ， 则 命令 
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应 为 mkfs.xfs /dev/sdb1。 





[root@linuxprobe ~]# mkfs.xfs /dev/sdbl 

meta-data=/dev/sdbl isize=256 agcount=4, agsize=131072 blks 
= sectsz=512 attr=2, projid32bit=1 

= crc=0 

data = bsize=4096 blocks=524288, imaxpct=25 

= sunit=0 swidth=0 blks 

naming =version 2 bsize=4096 ascii-ci=0 ftype=0 

1og =internal log bsize=4096 blocks=2560, version=2 

= sectsz=512 sunit=0 blks, lazy-count=1 

realtime =none extsz=4096 blocks=0, rtextents=0 


终于 完成 了 存储 设备 的 分 区 和 格式 化 操作 ， 接 下 来 就 是 要 来 挂 载 并 使 用 存储 设备 了 。 与 
之 相关 的 步 又 也 非常 向 时 首先 是 创建 一 个 用 于 挂 载 设备 的 挂 载 点 目录 ; 然后 使 用 mount 命 
令 将 存储 设备 与 挂 载 点 进行 关联 ， 最 后 使 用 df -h 命令 来 查看 挂 载 状态 和 硬盘 使 用 量 信息 。 


[root@linuxprobe ~]# mkdir /newFS 
[root@linuxprobe ~]# mount /dev/sdbl /newFS/ 
[root@linuxprobe ~]# df -h 
































Filesystem Size Used Avail Uses$ Mounted on 
/dev/mapper/rhel-root 18G 3.5G 15G 20% / 

devtmpfs 905M 0 905M 0% /dev 

tmpfs 914M 140K 914M 1% /dev/shm 

tmpfs 914M 8.8M 905M 1%$ /run 

tmpfs 914M 0 914M 0% /sys/fs/cgroup 
/dev/sr0 3.5G 3.5G 0 100% /media/cdrom 
/dev/sdal 497M 119M 379M 24% /boot 
/dev/sdbl 2.0G 33M 2.0G 2% /newFS 





6.5.2 du 命令 


玩 然 存 储 设备 已 经 顺利 挂 载 ， 接 下 来 就 可 以 尝试 通过 挂 载 点 目录 向 存储 设备 中 写 入 文件 
了 。 0 ， 先 介绍 一 个 用 于 查看 文件 数据 占用 量 的 du 命令 ， 其 格式 为 “du [选项 ] 
[文件 ]”"。 简 单 来 说 ， 该 命令 就 是 用 来 查看 一 个 或 多 个 文件 占用 了 多 大 的 硬盘 空间 。 我 们 还 可 
以 使 用 du -sh /x 命令 来 查看 在 Linux 系统 根 目录 下 所 有 一 级 目录 分 别 占用 的 空间 大 小 。 下 面 ， 
我 们 先 从 某 些 目录 中 复制 过 来 一 批文 件 ， 然 后 查看 这 些 文件 总 共 占 用 了 多 大 的 容量 : 


[root@linuxprobe ~]# cp -rf /etc/* /newFSs/ 
[root@linuxprobe ~]# ls /newFSs/ 




















abrt hosts pulse 

adjtime hosts.allow purple 
aliases hosts.deny dqemu-ga 
aliases.db hp qemu-kvm 

alsa idmapd.conf radvd.conf 
alternatives init.d rc0.d 
anacrontab inittab rcl.d 
We 省 略 部 分 输入 信息 .…. 
[root@linuxprobe ~]# du -sh /newEFS/ 
33M /newFSs/ 


细心 的 读者 一 定 还 记得 ， 前 面 在 讲解 mount 命令 时 提 到 ， 使 用 mount 命令 挂 载 的 设备 文 
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件 会 在 系统 下 一 次 重启 的 时 候 失 效 。 如 果 想 让 这 个 设备 文件 的 挂 载 永久 有 效 ， 则 需要 把 挂 载 
的 信息 写 入 到 配置 文件 中 : 











root@linuxprobe ~]# vim /etc/fstab 


/etc/fstab 
Created by anaconda on Wed May 4 19:26:23 2017 








/dev/mapper/rhel-root xfs defaults 
UUID=812b1f7c-8b5b-43da-8c06-b9999e0fe48b /boot Xfs defaults 
/dev/mapper /rhel-swap swap swap defaults 
/dev/cdrom /media/cdrom iso9660 defaults 
/dev/sdbl /newFS xfs defaults 


Accessible filesystems, by reference, are maintained under '/dev/disk' 


See man pages fstab(5), findfs(8), mount (8) and/or blkid(8) for more info 


OO OD 


OO OODDP 





| 6.6 “添加 交换 分 区 





用 的 数据 临时 存放 到 硬盘 中 ， 以 便 腾 出 物理 内 存 空间 让 更 活跃 的 程序 服务 来 使 用 的 技术 














SWAP (交换 ) 分 区 是 一 种 通过 在 硬盘 中 预先 划分 一 定 的 空间 ， 然 后 将 把 内 存 中 暂时 不 常 


















































其 设 


， 一 、 


计 目 的 是 为 了 解决 真实 物理 内 存 不 足 的 问题 。 但 由 于 交换 分 区 毕竟 是 通过 硬盘 设备 读 写 数据 的 ， 
速度 肯定 要 比 物 理 内 存 慢 ， 所 以 只 有 当真 实 的 物理 内 存 耗 尽 后 才 会 调用 交换 分 区 的 资源 。 
交换 分 区 的 创建 过 程 与 前 文 讲 到 的 挂 载 并 使 用 存储 设备 的 过 程 非常 相似 。 在 对 /dev/sdb 
存储 设备 进行 分 区 操作 前 ， 有 必要 先 说 一 下 交换 分 区 的 划分 建议 : 在 生产 环境 中 ， 交 换 分 区 


的 大 小 一 般 为 真实 物理 内 存 的 1.5~2 倍 ， 为 了 让 大 家 更 明 量 
里 取出 一 个 大 小 为 5GB 的 主 分 





























地 感受 交换 分 区 空间 的 变化 ， 这 
区 作为 交换 分 区 资源 。 在 分 区 创建 完毕 后 保存 并 退出 即 可 : 
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[root@linuxprobe ~]# fdisk /dev/sdb 

Welcome to fdisk (util-linux 2.23.2). 

Changes will remain in memory only, until you decide to write them. 
Be careful before using the write command. 

Device does not contain a recognized partition table 
Building a new DOS disklabel with disk identifier 0xb3d27cel. 
Command (m for help): n 

Partition type: 

p primary (1 primary, 0 extended, 3 free) 

e extendedSelect (default p): p 

Partition number (2-4, default 2): 

First sector (4196352-41943039，default 4196352) : 此 处 敲 击 回 车 
Using default value 4196352 


Last sector, +sectors or +size{K,M,G} (4196352-41943039, default 41943039): 


Partition 2 of type Linux and of size 5 GiB is set 

Command (m for help): P 

Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sectors 
Units = sectors of 1 * 512 = 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 

I/O size (minimum/optimal): 512 bytes / 512 bytes 

Disk label type: dos 

Disk identifier: Oxb0Oced57f 


+5G 


Device Boot Start End Blocks Id System 
/dev/sdbl 2048 4196351 2097152 83 Linux 
/dev/sdb2 4196352 14682111 5242880 83 Linux 


Command (m for help): WwW 

The partition table has been altered! 

Calling ioctl() to re-read partition table. 

WARNING: Re-reading the partition table failed with error 16: Device or resource busy. 
The kernel still uses the old table. The new table will be used at 

the next reboot or after you run partprobe(8) or kpartx(8) 

Syncing disks. 


使 用 SWAP 分 区 专用 的 格式 化 命令 mkswap， 对 新 建 的 主 分 区 进行 格式 化 操作 : 


[root@linuxprobe ~]# mkswap /dev/sdb2 











Setting up swapspace version 1, size = 5242876 KiB 
no label, UUID=2972f9cb-17f0-4113-84c6-c64b97c40c75 


使 用 swapon 命令 把 准备 好 的 SWAP 分 区 设备 正式 挂 载 到 系统 中 ,我 们 可 以 使 用 free -m 命 
查看 交换 分 区 的 大 小 变化 (由 2047MB 增加 到 7167MB ): 

















[root@linuxprobe ~]# free -m 

total used free shared buffers cached 
Mem : 1483 782 701 9 0 254 
-/+ buffers/cache: 526 957 
Swap: 2047 0 2047 
[root@linuxprobe ~]# swapon /dev/sdb2 
[root@linuxprobe ~]# free -m 

total used free shared buffers cached 
Mem : 1483 也 85 697 9 0 254 
-/+ buffers/cache: 530 953 
Swap : 7167 0 7167 








为 了 能 够 让 新 的 交换 分 区 设备 在 重启 后 依然 生效 ， 需 要 按照 下 面 的 格式 将 相关 信息 写 人 
到 配置 文件 中 ， 并 记得 保存 : 


root@linuxprobe ~]# vim /etc/fstab 








/etc/fstab 
Created by anaconda on Wed May 4 19:26:23 2017 


Accessible filesystems, by reference, are maintained under '/dev/disk' 
See man pages fstab(5), findfs(8), mount (8) and/or blkid(8) for more info 








/dev/mapper/rhel-root xfs defaults el 
UUID=812b1f7c-8b5b-43da-8c06-b9999e0fe48b /boot xfs defaults 2 
/dev/mapper /rhel-swap swap swap defaults 0 0 
/dev/cdrom /media/cdrom iso9660 defaults 0 0 
/dev/sdbl /newFS xfs defaults 0 0 
/dev/sdb2 swap swap defaults 0 0 





| 6.7 磁盘 容量 配额 




















本 书 在 前 面 曾经 讲 到 ，Linux 系统 的 设计 初衷 就 是 让 许多 人 一 起 使 用 并 执行 各 自 的 任务 ， 
从 而 成 为 多 用 户 、 多 任务 的 操作 系统 。 但 是 ， 硬 件 资源 是 固定 旦 有 限 的 ， 如 果 某 些 用 户 不 断 
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地 在 Linux 系统 上 创建 文件 或 者 存放 电影 ， 硬 盘 空 间 总 有 一 天 会 被 占 满 。 针 对 这 种 情况 ，root 
管理 员 就 需要 使 用 磁盘 容量 配额 服务 来 限制 某 位 用 户 或 某 个 用 户 组 针对 特定 文件 夹 可 以 使 用 
的 最 大 硬盘 空间 或 最 大 文件 个 数 , 一 旦 达到 这 个 最 大 值 就 不 再 允许 继续 使 用 。 可 以 使 用 quota 
命令 进行 磁盘 容量 配额 管理 ,从 而 限制 用 户 的 硬盘 可 用 容量 或 所 能 创建 的 最 大 文件 个 数 ,quota 
命令 还 有 软 限制 和 硬 限制 的 功能 。 

> 软 限制 ， 当 达到 软 限制 时 会 提示 用 户 , 但 仍 允 许 用 户 在 限定 的 额度 内 继续 使 用 。 

> 硬 限制 : 当 达 到 硬 限制 时 会 提示 用 户 ， 且 强制 终止 用 户 的 操作 。 

RHEL 7 系统 中 已 经 安装 了 quota 磁盘 容量 配额 服务 程序 包 , 但 存储 设备 却 默认 没有 开启 
对 quota 的 支持 ， 此 时 需要 手动 编辑 配置 文件 ， 让 RHEL 7 系统 中 的 /boot 目录 能 够 支持 quota 
磁盘 配额 技术 。 另 外 , 对 于 学 习 过 早期 的 Linux 系统 , 或 者 具有 RHEL 6 系统 使 用 经 验 的 读者 
来 说 ， 这 里 需要 特别 注意 。 早 期 的 Linux 系统 要 想 让 人 硬盘 设备 支持 quota 厂 盘 容量 配额 服务 ， 
使 用 的 是 usrquota 参数 ， 而 RHEL 7 系统 使 用 的 则 是 uquota 参数 。 在 重启 系统 后 使 用 mount 
命令 查看 ， 即 可 发 现 /boot 目录 已 经 支持 quota 磁盘 配额 技术 了 : 














































































































root@linuxprobe ~]# vim /etc/fstab 


/etc/fstab 
Created by anaconda on Wed May 4 19:26:23 2017 


Accessible filesystems, by reference, are maintained under '/dev/disk' 
See man pages fstab(5), findfs(8), mount (8) and/or blkid(8) for more info 











/dev/mapper/rhel-root A xfs defaults 11 
UUID=812blf7c-8b5b-43da-8c06-b9999e0fe48b /boot xfs defaults,uquota 12 
/dev/mapper /rhel-swap swap swap defaults 00 
/dev/cdrom /media/cdrom iso9660 defaults 00 
/dev/sdbl /newFs 光正 写 defaults 00 
/dev/sdb2 swap swap defaults 00 
root@linuxprobe ~]# reboot 

root@linuxprobe ~]# mount | grep boot 


/dev/sdal on /boot type xfs (rw,relatime,seclabel,attr2,inode64,usrquota) 


接 下 来 创建 一 个 用 于 检查 quota 磁盘 容量 配额 效果 的 用 户 tom， 并 针对 /boot 目录 增加 其 
他 人 的 写 权 限 ， 保 证 用 户 能 够 正常 写 入 数据 : 


root@linuxprobe ~]# useradd 七 om 





























root@linuxprobe ~]# chmod -Rf otw /boot 





6.7.1 xfs_quota 命令 





xfs_quota 命令 是 一 个 专门 针对 XFS 文件 系统 来 管理 quota 磁盘 容量 配额 服务 而 设计 的 命令 ， 
格式 为 “quota [参数 ] 配额 文件 系统 ”。 其 中 ，-c 参数 用 于 以 参数 的 形式 设置 要 执行 的 命令 ; -x 
参数 是 专家 模式 ， 让 运 维 人 员 能 够 对 quota 服务 进行 更 多 复杂 的 配置 。 接 下 来 我 们 使 用 xfs_quota 
命令 来 设置 用 户 tom 对 /boot 目录 的 quota 磁盘 容量 配额 。 具 体 的 限额 控制 包括 : 硬盘 使 用 量 的 软 
限制 和 硬 限制 分 别 为 3MB 和 6MB; 创建 文件 数量 的 软 限制 和 硬 限制 分 别 为 3 个 和 6 个。 












































[root@linuxprobe ~]# xfs quota -x -c 'limit bsoft=3m bhard=6m isoft=3 ihard=6 
tom' /boot 
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[root@linuxprobe ~]# xfs quota -x -C report /boot 
User quota on /boot (/dev/sdal) Blocks 

User ID Used Soft Hard Warn/Grace 

root 95084 0 0 00 [-- 一 一 一 一 一 一 ] 

tom 0 3072 6144 00 [-------- ] 











当 配 置 好 上 述 的 各 种 软 硬 限制 后 ， 尝 试 切 换 到 这 个 普通 用 户 ， 然 后 分 别 尝试 创建 一 个 体 

















积 为 5MB 和 8MB 的 文件 。 可 以 发 现 ， 在 创建 SMB 的 文件 时 受到 了 系统 限制 : 





root@linuxprobe ~]# su - 七 om 

tom@linuxprobe ~]$ dd if=/dev/zero of=/boot/tom bs=5M count=1 
1+0 records in 

1+0 records out 

5242880 bytes (5.2 MB) copied, 0.123966 s, 42.3 MB/s 
tom@linuxprobe ~]$ dd if=/dev/zero of=/boot/tom bs=8M count=1 
dd: error writing ‘/boot/tom’: Disk quota exceeded 





1+0 records in 
0+0 records out 
6291456 bytes (6.3 MB) copied, 0.0201593 s, 312 MB/s 





6.7.2 edquota 命令 





edquota 命令 用 于 编辑 用 户 的 quota 配额 限制 ， 格 式 为 “edquota [参数 ] [用 户 ] ”。 











在 为 用 





户 设置 了 quota 磁盘 容量 配额 限制 后 ， 可 以 使 用 edquota 命令 按 需 修改 限额 的 数值 。 其 中 ，-u 











参数 表示 要 针对 哪个 用 户 进行 设置 ; -g 参数 表示 要 针对 哪个 用 户 组 进行 设置 。edquota 




















调用 Vi 或 Vim 编辑 器 来 让 root 管理 员 修改 要 限制 的 具体 细节 。 下 面 把 用 户 tom 的 硬盘 使 用 








量 的 硬 限额 从 5MB 提升 到 8MB: 











[root@linuxprobe ~]# edquota -u 七 om 

Disk quotas for user tom (uid 1001): 

Filesystem blocks soft hard inodes soft hard 
/dev/sda 6144 3072 8192 1 3 6 
root@linuxprobe ~]# su - 七 om 

Last login: Mon Sep 7 16:43:12 CST 2017 on pts/0 
tom@linuxprobe ~]$ dd if=/dev/zero of=/boot/tom bs=8M count=1 
1+0 records in 

1+0 records out 

8388608 bytes (8.4 MB) copied, 0.0268044 s, 313 MB/s 
tom@linuxprobe ~]$ dd if=/dev/zero of=/boot/tom bs=10M count=1 
dd: error writing ‘/boot/tom’: Disk quota exceeded 





1+0 records in 
0+0 records out 
8388608 bytes (8.4 MB) copied, 0.167529 s, 50.1 MB/s 





| 6.8 ” 软 硬 方式 链接 








当 引 领 大 家 学 习 完 本 章 所 有 的 硬盘 管理 知识 之 后 ， 刘 六 老师 终于 可 以 放心 大 胆 地 讲解 
Linux 系统 中 的 “快捷 方式 ”了 。 在 Windows 系统 中 ， 快 捷 方式 就 是 指向 原始 文件 的 一 个 链 
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接 文 件 ， 可 以 让 用 户 从 不 同 的 位 置 来 访问 原始 的 文件 ; 原文 件 一 旦 被 删除 或 剪 切 到 其 他 地 方 
会 导致 链接 文件 失效 。 但 是 ， 这 个 看 似 简单 的 东西 在 Linux 系统 中 可 不 太一 样 。 
在 Linux 系统 中 存在 硬 链接 和 软 连接 两 种 文件 。 


局 











> 硬 链 接 ( hard lin 











k ): 可 以 将 它 理 解 为 一 个 “指向 原始 文件 inode 的 指针 ”， 系 统 不 为 


它 分 配 独立 的 inode 和 文件 。 所 以 ， 硬 链接 文件 与 原始 文件 其 实 是 同一 个 文件 ， 只 





是 名 字 不 同 。 我 








们 每 添加 一 个 硬 链接 ， 该 文件 的 inode 连接 数 就 会 增加 1; 而 且 只 

















有 当 该 文件 的 inode 连接 数 为 0 时 , 才 算 彻底 将 它 删除 。 换言之 , 由 于 便 链 接 实际 

















上 是 指向 原文 件 





inode 的 指针 , 因此 即便 原始 文件 被 删除 , 依然 可 以 通过 硬 链接 文 








件 来 访问 。 需 要 











链接 。 


注意 的 是 ， 由 于 技术 的 局 限 性 ， 我 们 不 能 览 分 区 对 目录 文件 进行 











> 软 链接 ( 也 称 为 符号 链接 [symbolic link] ): 仅仅 包含 所 链接 文件 的 路 径 名 ， 因 此 能 链 
接 目 录 文 件 ， 也 可 以 跨越 文件 系统 进行 链接 。 但 是 ， 当 原始 文件 被 删除 后 ， 链 接 文件 
也 将 失效 ， 从 这 一 点 上 来 说 与 Windows 系统 中 的 “快捷 方式 ”具有 一 样 的 性 质 。 


In 命令 














ln 命令 用 于 创建 链接 文件 , 格式 为 “In [选项 ] 目标 ”， 其 可 用 的 参数 以 及 作用 如 表 6-6 所 示 。 
在 使 用 In 命令 时 ， 是 否 添加 -s 参数 ， 将 创建 出 性 质 不 同 的 两 种 “快捷 方式 "。 因 此 如 果 没 有 扎实 
的 理论 知识 和 实践 经 验 做 铺垫 ， 尽 管 能 够 成 功 完成 实验 ， 但 永远 不 会 明白 为 什么 会 成 功 。 






































表 6-6 In 命令 中 可 用 的 参数 以 及 作用 
参数 作用 
-s 创建 “符号 链接 ”( 如 果 不 带 -s 参数 ， 则 默认 创建 硬 链接 ) 
站 强制 创建 文件 或 目录 的 链接 
-i 徐 盖 前 先 询问 
= 显示 创建 链接 的 过 程 

















为 了 更 好 地 理解 软 链接 、 硬 链接 的 不 同性 质 ， 接 下 来 创建 一 个 类 似 于 Windows 系统 中 快 


捷 方 式 的 软 链接 。 这 样 ， 当 原始 文件 被 删除 后 ， 就 无 法 读 取 新 建 的 链接 文件 了 。 











root@linuxprobe ~ 
root@linuxprobe ~ 
root@linuxprobe ~ 
Welcome to linuxpr 
root@linuxprobe ~ 
Welcome to linuxpr 
root@linuxprobe ~ 
A enh A St Ne ef oN eo: 

root@linuxprobe ~ 
root@linuxprobe ~ 
cat: readit.txt: N 


# echo "Welcome to linuxprobe.com" > readme.txt 
# ln -s readme.txt readit.txt 
# cat readme.txt 

obe.com 

# cat readit.txt 

obe .com 

# ls -1 readme.txt 

root 26 Jan 11 00:08 readme.txt 
# rm -f readme.txt 

# cat readit.txt 

O such file or directory 








接 下 来 针对 一 个 原始 文件 创建 一 个 硬 链接 ， 即 相当 于 针对 原始 文件 的 硬盘 存储 位 置 创 建 























了 一 个 指针 ， 这 样 一 来 ， 新 创建 的 这 个 硬 链接 就 不 再 依赖 于 原始 文件 的 名 称 等 信息 ， 也 不 会 
为 原始 文件 的 删除 而 导致 无 法 读 取 。 同 时 可 以 看 到 创建 硬 链 接 后 ,原始 文件 的 硬盘 链接 数 
量 增加 到 了 2。 
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root@linuxprobe ~]# echo "Welcome to linuxprobe.com" > readme.txt 
root@linuxprobe ~]# ln readme.txt readit.txt 
root@linuxprobe ~]# cat readme.txt 
Welcome to linuxprobe.com 
root@linuxprobe ~]# cat readit.txt 
Welcome to linuxprobe.com 
root@linuxprobe ~]# ls -1 readme.txt 
-rw-r--r-—- 2 root root 26 Jan 11 00:13 readme.txt 
root@linuxprobe ~]# rm -f readme.txt 
root@linuxprobe ~]# cat readit.txt 





Welcome to linuxprobe.com 





| 复习 题 








1. /home 目录 与 /root 目录 内 存放 的 文件 有 何 相同 点 以 及 不 同 点 ? 
答 : 这 两 个 目录 都 是 用 来 存放 用 户 的 家 目录 数据 的 ， 但 是 ，/root 目录 存放 的 是 root 管理 




















员 的 家 目录 数据 。 


2， 假 如 一 个 设备 的 文件 名 称 为 /dev/sdb ， 
答 : 不 一 定 ， 因 为 设备 的 文件 名 称 是 







































































可 以 确认 它 是 主板 第 二 个 插 槽 上 的 设备 吗 ? 
系统 的 识别 顺序 来 决定 的 。 


3， 如 果 硬 盘 中 需要 5 个 分 区 ， 至 少 需要 几 个 逻辑 分 区 ? 
答 : 可 以 选用 创建 3 个 主 分 区 +1 个 扩展 分 区 的 方法 ， 然 后 把 扩展 分 区 再 分 成 2 个 逻辑 分 





区 ， 即 有 了 5 个 分 区 。 


4. /dev/sda5 是 主 分 区 
答 : 逻辑 分 区 。 


还 是 逻辑 分 区 ? 


5. 哪个 服务 决定 了 设备 在 /dev 目录 中 的 名 称 ? 
答 : udev 设备 管理 器 服务 。 








6. 用 一 句 话 来 描述 挂 载 操 作 。 


























答 : 当 用 户 需 要 使 用 硬盘 设备 或 分 区 中 的 数据 时 , 需要 先 将 其 与 一 个 已 存在 的 目录 文件 进 








行 关联 ， 而 这 个 关联 动作 就 是 “ 挂 载 ”。 








7， 在 配置 a 磁盘 容 
答 : 不 一 





8 若 原始 文件 被 改名 ， 那 么 之 前 创建 的 硬 链接 还 能 


答 : 可 以 。 


量 配 额 服务 时 ， 软 限制 数值 必须 小 于 硬 限制 数值 么 ? 
定 ， 软 限制 数值 可 以 小 于 等 于 硬 限制 数值 。 


访问 到 这 个 原始 文件 么 ? 
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第 7 章 | 


使 用 RAID 与 LVM 磁盘 阵列 技术 


本 章 讲解 了 如 下 内 容 : 


> RAID ( 独立 匈 余 磁盘 阵列 ); 
> LVM ( 逻辑 卷 管理 器 )。 

















在 学 习 了 第 6 章 讲 解 的 硬盘 设备 分 区 、 格 式 化 、 挂 载 等 知识 后 ， 本 章 将 深入 讲解 各 个 常 
用 RAID (Redundant Array of Independent Disks ， 独 立 宛 余 磁盘 阵列 ) 技术 方案 的 特性 ， 并 通 
过 实际 部 署 RAID 10、RAID 5+ 备 份 盘 等 方案 来 更 直观 地 查看 RAID 的 强大 效果 , 以 便 进 一 步 
满足 生产 环境 对 硬盘 设备 的 IO 读 写 速度 和 数据 宛 余 备 份 机 制 的 需求 。 同 时 , 考虑 到 用 户 可 能 
会 动态 调整 存储 资源 , 本 章 还 将 介绍 LVM ( Logical Volume Manager, 逻辑 卷 管理 器 ) 的 部 署 、 
扩容 、 缩 小 、 快 照 以 及 印 载 删除 的 相关 知识 。 相 信 读 者 在 学 完 本 章 内 容 后 ， 便 可 以 在 企业 级 
生产 环境 中 灵活 运用 RAID 和 LVM 来 满足 对 存储 资源 的 高 级 管理 需求 了 。 












































7.1 RAID (独立 元 余 磁 盘 阵列 ) 





近年 来 ， CPU 的 处 理性 能 保持 着 高 速 增长 ，Intel 公司 在 2017 年 最 新 发 布 的 19-7980XE 
处 理 需 芯片 更 是 达到 了 18 核心 36 线程 。 但 与 此 同时 ,硬盘 设备 的 性 能 提升 却 不 是 很 大 ， 
此 逐渐 成 为 当代 计算 机 整体 性 能 的 瓶颈 。 而 且 ， 由 于 硬盘 设备 需要 进行 持续 、 频 繁 、 大 量 的 
IO 操作 ， 相 较 于 其 他 设备 ， 其 损坏 几率 也 大 幅 增加 ， 导 致 重要 数据 丢失 的 几率 也 随 之 增加 。 

1988 年 ， 加 利 福 尼 亚 大 学 伯克利 分 校 首次 提出 并 定义 了 RAID 技术 的 概念 。RAID 技术 
通过 把 多 个 硬盘 设备 组 合成 一 个 容量 更 大 、 安 全 性 更 好 的 磁盘 阵列 ， 并 把 数据 切割 成 多 个 区 
段 后 分 别 存放 在 各 个 不 同 的 物理 硬盘 设备 上 ， 然 后 利用 分 散 读 写 技术 来 提升 磁盘 阵列 整体 的 
性 能 ， 同 时 把 多 个 重要 数据 的 副本 同步 到 不 同 的 物理 硬盘 设备 上 ， 从 而 起 到 了 非常 好 的 数据 
宛 余 备份 效果 。 

任何 事物 都 有 它 的 两 面 性 。RAID 技术 确实 具有 非常 好 的 数据 元 余 备 份 功能 ， 但 是 它 也 
相应 地 提高 了 成 本 支出 。 就 像 原本 我 们 只 有 一 个 电话 本 ,但 是 为 了 避免 遗失 ， 我 们 将 联系 人 
号 码 信息 写成 了 两 份 ， 自然 要 为 此 多 买 一 个 电话 本 , 这 也 就 相应 地 提升 了 成 本 支出 。RAID 技 
术 的 设计 初衷 是 减少 因为 采购 硬盘 设备 带 来 的 费用 支出 ， 但 是 与 数据 本 身 的 价值 相 比 较 ， 现 
代 企 业 更 看 重 的 则 是 RAID 技术 所 具备 的 元 余 备 份 机 制 以 及 带 来 的 硬盘 吞吐 量 的 提升 。 也 就 
是 说 , RAID 不 仅 降低 了 硬盘 设备 损坏 后 丢失 数据 的 几率 , 还 提升 了 硬盘 设备 的 读 写 速度 , 所 
以 它 在 绝 大 多 数 运营 商 或 大 中 型 企业 中 得 以 广泛 部 署 和 应 用 。 









































































































































7.1 ”RAID (独立 元 余 磁 盘 阵列 ) 





出 于 成 本 和 技术 方面 的 考虑 , 需要 针对 不 同 的 需求 在 数据 可 靠 性 及 读 写 性 能 上 作出 权衡 ， 
制定 出 满足 各 自 需求 的 不 同方 案 。 目 前 已 有 的 RAID 磁盘 阵列 的 方案 至 少 有 十 几 种 ， 而 刘 遂 
老师 接 下 来 会 详细 讲解 RAID 0、RAID 1、RAID 5 与 RAID 10 这 4 种 最 常见 的 方案 。 





7.1.1 RAIDO 


RAID 0 技术 把 多 块 物理 硬盘 设备 ( 至 少 两 块 ) 通过 硬件 或 软件 的 方式 串联 在 一 起 ,组 成 
一 个 大 的 卷 组 ， 并 将 数据 依次 写 人 到 各 个 物理 硬盘 中 。 这 样 一 来 ， 在 最 理想 的 状态 下 ， 硬 盘 
设备 的 读 写 性 能 会 提升 数 倍 ， 但 是 若 任意 一 块 硬盘 发 生 故 障 将 导致 整个 系统 的 数据 都 受到 破 
坏 。 通 俗 来 说 ，RAID 0 技术 能 够 有 效 地 提升 硬盘 数据 的 吞吐 速度 ， 但 是 不 具备 数据 备份 和 错 
误 修复 能 力 。 如 图 7-1 所 示 ， 数 据 被 分 别 写 人 到 不 同 的 硬盘 设备 中 ， 即 diskl 和 disk2 硬盘 设 
备 会 分 别 保存 数据 资料 ， 最 终 实现 分 开 写 人 、 读 取 的 效果 。 


























RAID 0 


数据 块 2 





图 7-1 RAID 0 技术 示意 图 


7.1.2 RAID 1 





尽管 RAID 0 技术 提升 了 硬盘 设备 的 读 写 速度 ， 但 是 它 是 将 数据 依次 写 和 人 到 各 个 物理 硬 
盘 中 ， 也 就 是 说 ， 它 的 数据 是 分 开 存放 的 ， 其 中 任何 一 块 硬盘 发 生 故 障 都 会 损坏 整个 系统 的 
数据 。 因 此 ,如果 生 产 环境 对 硬盘 设备 的 读 写 速度 没有 要 求 ， 而 是 希望 增加 数据 的 安全 性 时 ， 
就 需要 用 到 RAID 1 技术 了 。 

在 图 7-2 所 示 的 RAID 1 技术 示意 图 中 可 以 看 到 ， 它 是 把 两 块 以 上 的 硬盘 设备 进行 绑 
定 , 在 写 人 数据 时 ， 是 将 数据 同时 写 人 到 多 块 硬盘 设备 上 (可 以 将 其 视 为 数据 的 镜像 或 备 
份 )。 当 其 中 某 一 块 硬盘 发 生 故 障 后 ， 一 般 会 立即 自动 以 热 交 换 的 方式 来 恢复 数据 的 正常 
使 用 。 

















RAID 1 





图 7-2 RAID 1 技术 示意 图 
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使 用 RAID 与 LVM 磁盘 阵列 技术 


RAID 1 技术 虽然 十 分 注重 数据 的 安全 性 , 但 是 因为 是 在 多 块 硬盘 设备 中 写 人 了 相同 的 数 
据 ， 因 此 硬盘 设备 的 利用 率 得 以 下 降 ， 从 理论 上 来 说 ， 图 7-2 所 示 的 硬盘 空间 的 真实 可 用 率 
只 有 50%， 由 三 块 硬 盘 设 备 组 成 的 RAID 1 磁盘 阵列 的 可 用 率 只 有 33% 左 右 ， 以 此 类 推 。 而 
且 ， 由 于 需要 把 数据 同时 写 人 到 两 块 以 上 的 硬盘 设备 ， 这 无 疑 也 在 一 定 程 度 上 增 大 了 系统 计 
算 功 能 的 负载 。 

那么 ， 有 没有 一 种 RAID 方案 既 考 虑 到 了 硬盘 设备 的 读 写 速度 和 数据 安全 性 ， 还 兼顾 了 
成 本 问题 呢 ? 实际 上 ， 单 从 数据 安全 和 成 本 问题 上 来 讲 ， 就 不 可 能 在 保持 原 有 硬盘 设备 的 利 
用 率 且 还 不 增加 新 设备 的 情况 下 ， 能 大 幅 提升 数据 的 安全 性 。 刘 遂 老 师 也 没有 必要 忽悠 各 位 
读者 , 下 面 将 要 讲解 的 RAID 5 技术 虽然 在 理论 上 兼顾 了 三 者 ( 读 写 速度 、 数 据 安全 性 、 成 本 )， 
但 实际 上 更 像 是 对 这 三 者 的 “相互 妥协 ”。 






































7.1.3 RAIDS5 

















如 图 7-3 所 示 ，RAID5 技术 是 把 硬盘 设备 的 数据 奇偶 校 验 信息 保存 到 其 他 硬盘 设备 中 。 
RAID 5 磁盘 阵列 组 中 数据 的 奇偶 校 验 信息 并 不 是 单独 保存 到 某 一 块 硬盘 设备 中 , 而 是 存储 到 
除 自身 以 外 的 其 他 每 一 块 硬盘 设备 上 ， 这 样 的 好 处 是 其 中 任何 一 设备 损坏 后 不 至 于 出 现 致命 
缺陷 ; 图 7-3 中 parity 部 分 存放 的 就 是 数据 的 奇偶 校 验 信息 ， 换 名 话说， 就 是 RAID 5 技术 实 
际 上 没有 备份 硬盘 中 的 真实 数据 信息 ， 而 是 当 硬 盘 设备 出 现 问题 后 通过 奇偶 校 验 信息 来 尝试 
重建 损坏 的 数据 。RAID 这 样 的 技术 特性 “妥协 ”地 兼顾 了 硬盘 设备 的 读 写 速度 、 数 据 安 全 性 
与 存储 成 本 问题 。 






































RAID 3 








图 7-3 RAID5 技术 示意 图 


7.1.4 RAID 10 


鉴于 RAID 5 技术 是 因为 硬盘 设备 的 成 本 问题 对 读 写 速度 和 数据 的 安全 性 能 而 有 了 一 定 
的 妥协 ， 但 是 大 部 分 企业 更 在 乎 的 是 数据 本 身 的 价值 而 非 硬盘 价格 ， 因 此 生产 环境 中 主要 使 
用 RAID 10 技术 。 

顾名思义 ，RAID 10 技术 是 RAID 1+RAID 0 技术 的 一 个 “组 合体 ”。 如 图 7-4 所 示 ， 
RAID 10 技术 需要 至 少 4 块 硬盘 来 组 建 ， 其 中 先 分 别 两 两 制作 成 RAID 1 磁盘 阵列 ， 以 保 
证 数据 的 安全 性 ; 然后 再 对 两 个 RAID 1 磁盘 阵列 实施 RAID 0 技术， 进一步 提高 硬盘 设 
备 的 读 写 速度 。 这样 从 理论 上 来 讲 ， 只 要 坏 的 不 是 同一 组 中 的 所 有 硬盘 ,那么 最 多 可 以 损 
坏 50% 的 硬盘 设备 而 不 丢失 数据 ,由 于 RAID 10 技 术 继 承 了 RAID 0 的 高 读 写 速度 和 RAID 
1 的 数据 安全 性 ， 在 不 考虑 成 本 的 情况 下 RAID 10 的 性 能 都 超过 了 RAID 5， 因 此 当前 成 
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7.1 RAID ( 独立 匈 余 磁盘 阵列 ) 


为 广泛 使 用 的 一 种 存储 技术 。 





图 7-4 RAID 10 技术 示意 图 


7.1.5 ”部 署 磁盘 阵列 


在 具备 了 上 一 章 的 硬盘 设备 管理 基础 之 后 ， 再 来 部 署 RAID 和 LVM 就 变 得 十 分 轻松 了 。 首 
先 ， 需 要 在 虚拟 机 中 添加 4 块 硬盘 设备 来 制作 一 个 RAID 10 磁盘 阵列 ， 如 图 7-5 所 示 。 























座 拟 宙 设 置 De _ 本 和 [es] 
硬件 | 选项 | 
设备 摘要 内 存 
i | “手册 站 大 小 须 为 4 MB 
日 处 理 器 4 i 
司 硬 盘 (5C5D) 到 各 此 虚拟 机 的 内 存 (M): 2048 二 | MB 
局 硬盘 2 (SCSI) 20 GB 
局 硬盘 3 (SCSI) 20 GB 
局 硬盘 4 (SCSI) 20 GB 3GB | 
司 硬 盘 5 (SCSI) 20 GB 268 -Ga 
ECD/DVD (SATA) ”正在 使 用 文件 D:\ 蚀 像 \RHEL-server-..… | _ NA 
恩 网 结 适 本 器 。 仅 主 机 模式 a a 
小 可 前 
加 显示 器 自动 检测 512MB 发 生 内 存 突 按 。 了 
256 MB 6280 MB 
| 建议 内 存 
64MB - | 2048 MB 
Se 口 建议 的 最 小 客户 机 操作 系统 内 存 
16MB 1024 MB 
8MB 
4MB 
中 必须 先 关闭 虚拟 机 ， 才 能 降低 内 存量 。 
避 虚拟 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内 存 。 您 可 以 
在 "显示 器 "设置 页 面 中 更 改 此 数量 。 














国 添 加 (A) | | 移 除 (R) 























FE 了 才 助 
图 7-5 为 虚拟 机 系统 模拟 添加 4 块 硬盘 设备 


这 几 块 便 盘 设备 是 模拟 出 来 的 ， 不 需要 特意 去 买 几 块 真实 的 物理 硬盘 搬 到 电脑 上 。 需 要 
注意 的 是 ， 一 定 要 记得 在 关闭 系统 之 后 ， 再 在 虚拟 机 中 添加 硬盘 设备 ， 否 则 可 能 会 因为 计算 
机 架构 的 不 同 而 导致 虚拟 机 系统 无 法 识别 添加 的 硬盘 设备 。 

mdadm 命令 用 于 管理 Linux 系统 中 的 软件 RAID 硬盘 阵列 ,格式 为 "mdadm [模式 ] <RAID 
设备 名 称 > [选项 ] [成 员 设备 名 称 ] 。 

当前 ， 生 产 环境 中 用 到 的 服务 器 一 般 都 配备 RAID 阵列 卡 ， 尽 管 服务 器 的 价格 越 来 越 便 
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宜 , 但 是 我 们 没有 必要 为 了 做 一 个 实验 而 去 单独 购买 一 台 服 务 器 ， 而 是 可 以 会 用 mdadm 命令 
在 Linux 系统 中 创建 和 管理 软件 RAID 磁盘 阵列 ， 而 且 它 涉及 的 理论 知识 的 操作 过 程 与 生产 






















































































环境 中 的 完全 一 致 。mdadm 命令 的 常用 参数 以 及 作用 如 表 7-1 所 示 。 
表 7-1 mdadm 命令 的 常用 参数 和 作用 
参数 作用 
-a 检测 设备 名 称 
-n 指定 设备 数量 
2 指定 RAID 级 别 
-C 创建 
—V 显示 过 程 
下 模拟 设备 损坏 
一 上 移 除 设备 
-9 查看 摘要 信息 
-D 查看 详细 信息 
-Ss 停止 RAID 磁盘 阵列 








接 下 来 ， 使 用 mdadm 命令 创建 RAID 10， 名 称 为 “/dev/md0”。 





第 6 童 中 讲 到 ，udev 是 Linux 系统 内 核 中 用 来 给 硬件 命名 的 服务 ， 其 命名 规则 也 非 





常 简 单 。 我 们 可 以 通过 命名 规则 猜测 到 第 二 个 SCSI 存 储 设备 的 名 称 会 是 /devwsdb ， 然 后 
使 用 硬盘 设备 来 部 署 RAID 磁盘 阵列 很 像 是 将 几 位 同学 组 成 一 个 班级 ， 但 总 
能 将 班级 命名 为 /dev/sdbcde 吧 。 尽 管 这 样 可 以 一 眼 开 出 它 是 由 哪些 元 素 组 成 的 ， 但 是 








伐 盘 阵列 呢 ? 




































































此 时 ， 就 需要 使 用 mdadm 中 的 参数 了 。 其 中 ，-C 参数 代表 创建 一 个 RAID 阵列 卡 ; -v 
参数 显示 创建 的 过 程 ， 同 时 在 后 面 妃 加 一 个 设备 名 称 /dev/md0， 这 样 /dev/md0 就 是 创建 后 的 
RAID 磁盘 阵列 的 名 称 ; -a yes 参数 代表 自 0 n 4 参数 代表 使 用 4 块 硬 盘 来 部 
署 这 个 RAID 磁盘 阵列 ;而 4 10 参数 则 代表 RAID 10 方案 ; 最 后 再 加 上 4 块 硬盘 设备 的 名 称 


就 搞定 了 。 
























































[root@lin 
/dev/sdd 
mdadm: la 
mdadm: la 
mdadm: ch 
mdadm: si 
mdadm: De 


mdadm: ar 


uxprobe ~]# mdadm -Cv /dev/md0 -a yes -n 4 -1 10 /dev/sdb /dev/sdc 
/dev/sde 

yout defaults to n2 

yout defaults to n2 

unk size defaults to 512K 

Ze set to 20954624K 

faulting to version 1.2 metadata 

ray /dev/md0 started. 





其 次 ， 把 人 








制作 好 的 RAID 磁盘 阵列 格式 化 为 ext4 格式 。 








[root@lin 
mke2fs 1. 


uxprobe ~]# mkfs.ext4 /dev/md0 
42.9 (28-Dec-2013) 


Filesystem label= 


OS type: 
Block siz 
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Linux 
e=4096 (Log=2) 


7.1 RAID (独立 元 余 磁 盘 阵列 ) 


Fragment size=4096 (Log=2) 

Stride=128 blocks, Stripe width=256 blocks 

2621440 inodes, 10477312 blocks 

523865 blocks (5.00%) reserved for the super user 

First data block=0 

Maximum filesystem blocks=2157969408 

320 block groups 

32768 blocks per group, 32768 fragments per group 

8192 inodes per group 

Superblock backups stored on blocks: 

32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
4096000, 7962624 

Allocating group tables: done 

Writing inode tables: done 

Creating journal (32768 blocks): done 

Writing superblocks and filesystem accounting information: done 











再 次 ， 创 建 挂 载 点 然后 把 硬盘 设备 进行 挂 载 操作 。 挂 载 成 功 后 可 看 到 可 用 空间 为 











40GB 。 





[root@linuxprobe ~]# mkdir /RAID 
[root@linuxprobe ~]# mount /dev/md0 /RAID 
[root@linuxprobe ~]# df -h 


Filesystem Size Used Avail Uses Mounted on 
/dev/mapper/rhel-root 18G 3.0G 15G 工务 六 

devtmpfs 905M 0 905M 0% /dev 

tmpfs 914M 84K 914M s /dev/shm 

tmpfs 914M 8.9M 905M $$ /run 

tmpfs 914M 0 914M 0% /sys/fs/cgroup 
/dev/sr0 355G 3.5G 0 100% /media/cdrom 
/dev/sdal 497M 119M 379M 24% /boot 

/dev/md0 40G 49M 38G 1% /RAID 





左 
演 























最 后 ， 查 看 /dev/md0 磁盘 阵列 的 详细 信息 ， 并 把 挂 载 信息 写 人 到 配置 文件 中 ， 使 其 永久 








_O 

[root@linuxprobe ~]# mdadm -D /dev/md0 
/dev/mdo: 

Version : 1.2 


Creation Time : Tue May 5 07:43:26 2017 

Raid Level : zaidql0 

Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
Raid Devices : 4 

Total Devices : 4 

Persistence : Superblock is persistent 
Update Time : Tue May 5 07:46:59 2017 

State : clean 

Active Devices : 4 

Working Devices : 4 

Failed Devices : 0 

Spare Devices : 0 

Layout : near=2 

Chunk Size : 512K 

Name : localhost.localdomain:0 (local to host localhost.localdomain) 
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使 用 RAID 与 LVM 磁盘 阵列 技术 


UUID : cc9a87d4:1e89e175:5383ele8:a78ec62c 
Events : 17 

Number Major Minor RaidDevice State 

08 16 0 active sync /dev/sdb 

1 8 32 1 active sync /dev/sdc 

2 8 48 2 active sync /dev/sdd 

3 8 64 3 active sync /dev/sde 


[root@linuxprobe ~]# echo "/dev/md0 /RAID ext4 defaults 0 0" >> /etc/fstab 





7.1.6 ”损坏 磁盘 阵列 及 修复 


之 所 以 在 生产 环境 中 部 署 RAID 10 磁盘 阵列 ， 是 为 了 提高 硬盘 存储 设备 的 读 写 速度 及 数 
据 的 安全 性 ， 但 由 于 我 们 的 硬盘 设备 是 在 虚拟 机 中 模拟 出 来 的 ， 因 此 对 读 写 速度 的 改善 可 能 
并 不 直观 ， 因 此 刘 选 老师 决定 给 各 位 读者 讲解 一 下 RAID 磁盘 阵列 损坏 后 的 处 理 方法 ， 这 样 











计 























大 家 在 步 人 运 维 岗位 后 遇 到 类 似 问 题 时 ， 也 可 以 轻松 解决 。 

















在 确认 有 一 块 物理 硬盘 设备 出 现 损坏 而 不 能 继续 正常 使 用 后 , 应 该 使 用 mdadm 命令 将 其 





移 除 ， 然 后 查看 RAID 磁盘 阵列 的 状态 ， 可 以 发 现状 态 已 经 改变 。 





[root@linuxprobe ~]# mdadm /dev/md0 -f /dev/sdb 
mdadm: set /dev/sdb faulty in /dev/md0 
[root@linuxprobe ~]# mdadm -D /dev/md0 
/dev/mdo: 

Version : 1.2 

Creation Time : Fri May 8 08:11:00 2017 

Raid Level : raid10 

Array Size : 41909248 (39.97 GiB 42.92 GB) 

Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 


Raid Devices : 4 
Total Devices : 4 
Persistence : Superblock is persistent 


Update Time : Fri May 8 08:27:18 2017 
State : clean, degraded 

Active Devices : 3 

Working Devices : 3 

Failed Devices : 1 

Spare Devices : 0 

Layout : near=2 

Chunk Size : 512K 

Name : linuxprobe.com:0 (local to host linuxprobe.com) 
UUID : f£f2993bbd:99cleb63:bd61d4d4:3f06c3b0 
Events : 21 

Number Major Minor RaidDevice State 

0 0 0 0 removed 

1 8 32 1 active sync /dev/sdc 

2 8 48 2 active sync /dev/sdd 

3 8 64 3 active sync /dev/sde 

0 8 16 - faulty /dev/sdb 











在 RAID 10 级 别 的 磁盘 阵列 中 , 当 RAID 1 磁盘 阵列 中 存在 一 个 故障 盘 时 并 不 








二 
宗 乡 


响 RAID 


10 磁盘 阵列 的 使 用 。 当 购买 了 新 的 硬盘 设备 后 再 使 用 mdadm 命令 来 予以 替换 即 可 , 在 此 期 间 
我 们 可 以 在 /RAID 目录 中 正常 地 创建 或 删除 文件 。 由 于 我 们 是 在 虚拟 机 中 模拟 硬盘 ， 所 以 先 
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7.1 RAID (独立 元 余 磁 盘 阵列 ) 


重启 系统 ， 然 后 再 把 新 的 硬盘 添加 到 RAID 磁盘 阵列 中 。 











[root@linuxprobe ~]# umount /RAID 
[root@linuxprobe ~]# mdadm /dev/md0 -a /dev/sdb 
[root@linuxprobe ~]# mdadm -D /dev/md0 


/dev/mdo: 
Version : 1.2 


Creation Time : 


Mon Jan 30 00:08:56 2017 


Raid Level : Faidql0 


Array Size : 41 
Used Dev Size : 
Raid Devices : 

Total Devices : 
Persistence : S 


909248 (39.97 GiB 42.92 GB) 
20954624 (19.98 GiB 21.46 GB) 
4 
4 
uperblock is persistent 


Update Time : Mon Jan 30 00:19:53 2017 


State : clean 


Active Devices : 
Working Devices : 
Failed Devices : 


Spare Devices : 
Layout : near=2 
Chunk Size : 51 
Name : localhos 
UUID : d3491c05 
Events : 56 


4 

4 
0 
0 


2K 
t.localdomain:0 (local to host localhost.localdomain) 
:cfc8lca0:32489f04:716a2cf0 


Number Major Minor RaidDevice State 
4 8 16 0 active sync /dev/sdb 
1 8 32 1 active sync /dev/sdc 
2 8 48 2 active sync /dev/sdd 
3 8 64 3 active sync /dev/sde 


[root@linuxprobe 


~]# mount -a 





7.1.7 磁盘 阵 3 


洲 备 份 盘 





RAID 10 磁盘 阵列 中 最 多 允许 50% 的 硬盘 设备 发 生 故 障 ， 但 是 存在 这 样 一 种 极端 情况 ， 
即 同一 RAID 1 磁盘 阵列 中 的 硬盘 设备 大 全 部 损坏 ， 也 会 导致 数据 丢失 。 换 句 话 说， 在 RAID 
10 磁盘 阵列 中 ， 如 果 RAID 1 中 的 某 一 块 硬盘 出 现 了 故障 ， 而 我 们 正在 前 往 修复 的 路 上 ， 
恰巧 该 RAID1 磁盘 阵列 中 的 男 一 块 硬盘 设备 也 出 现 故 障 ， 那 么 数据 就 被 彻底 丢失 了 。 刘 
递 老师 可 真 不 是 乌鸦 嘴 ， 这 种 RAID 1 磁盘 阵列 中 的 硬盘 设备 同时 损坏 的 情况 还 真 被 我 的 




















学 生 遇 到 过 。 
在 这 样 的 情况 下 ， 














该 怎么 办 呢 ? 其 实 ， 我 们 完全 可 以 使 用 RAID 备份 盘 技术 来 预防 这 类 








事故 。 该 技术 的 核心 理念 就 是 准备 一 块 足够 大 的 硬盘 ,这 块 硬盘 平时 处 于 闲置 状态 ,一 旦 RAID 
磁盘 阵列 中 有 硬盘 出 现 故 障 后 则 会 马上 自动 顶替 上 去 。 这 样 很 棒 吧 |! 




















为 了 避免 多 个 实验 之 间 相 互 发 生 冲 突 , 我 们 需要 保证 每 个 实验 的 相对 独立 性 , 为 此 需 
要 大 家 自行 将 虚拟 机 还 原 到 初始 状态 。 另 外 , 由 于 刚才 已 经 演示 了 RAID 10 磁盘 阵列 的 部 


署 方法 ， 我们 现在 来 看 一 下 RAID 5 的 部 署 效果 。 部 署 RAID 5 磁盘 阵列 时 ， 至 少 需要 用 
































到 3 块 硬盘 ,还 需要 





了 加 一 块 备份 硬盘 ， 所 以 总 计 需 要 在 虚拟 机 中 模拟 4 块 硬盘 设备 ， 如 








图 7-6 所 示 。 
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使 用 RAID 与 LVM 磁盘 阵列 技术 


RAID 5 磁盘 阵列 所 需 的 硬盘 数 ， 参 数 -15 代表 RAID 的 级 别 ， 而 参数 -x 1 则 代表 有 一 块 备 
份 盘 。 当 查看 /dev/md0 ( 即 RAID 5 磁盘 阵列 的 名 称 ) 磁盘 阵列 的 时 候 就 能 看 到 有 一 块 备 


雇 拟 机 设置 -~ 二 | 











[各 
攻 内 存 
edi 


设备 






怠 神 盘 (SCSD) 2068 此 虚拟 机 的 内 存 (M): 2048 记 | we 
局 硬盘 2 (SCSI) 20 GB 


司 硬 盘 3 (SCSI) 20 GB 


局 硬盘 4 (SCSI) 20 GB 3GB 
晤 硬盘 5 (SCSI) 20 GB 2GB -Ga 
*) CD/DVD (SATA) 正在 使 用 文件 D:\ 针 像 \RHEL-server-.…. 
写 网 络 适 可 器 公主 机 模式 | ee 
居中 二 小 可 条 
别 显示 器 自动 检测 512 MB 发 生 内 存 妆 换 。 
256 MB 6280 MB 
晶 建议 内 存 
64MB 2048 MB 
口 建议 的 最 小 客户 机 操作 系统 内 存 
16MB 1024 MB 
8MB 
4MB 
息 必须 先 关闭 虚拟 机 ， 才 能 降低 内 存量 。 





已 虚拟 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内 存 。 您 可 以 
在 显示 避 设置 页 面 中 更 改 此 数量。 














故 添 加 (A).… 移 除 (R 




















[确定 |][ 了 | L 孝 助 
图 7-6 在 虚拟 机 中 模拟 添加 4 块 硬 盘 设 备 
现在 创建 一 个 RAID 5 磁盘 阵列 + 备份 盘 。 在 下 面 的 命令 中 ， 参 数 -n 3 代表 创建 这 个 




















份 盘 在 等 待 中 了 。 
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[root@linuxprobe ~]# mdadm -Cv /dev/md0 -n 3 -1 5 -x 1 /dev/sdb /dev/sdc /dev/ 
sdd /dev/sde 

mdadm: layout defaults to left-symmetric 
mdadm: layout defaults to left-symmetric 
mdadm: chunk size defaults to 512K 

mdadm: size set to 20954624K 

mdadm: Defaulting to version 1.2 metadata 
mdadm: array /dev/md0 started. 
[root@linuxprobe ~]# mdadm -D /dev/md0 
/dev/mdo: 

Version : 1.2 

Creation Time : Fri May 8 09:20:35 2017 

Raid Level : raid5 

Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 


Raid Devices : 3 
Total Devices : 4 
Persistence : Superblock is persistent 


Update Time : Fri May 8 09:22:22 2017 
State : clean 
Active Devices : 3 


Working Devices : 4 
Failed Devices : 0 
Spare Devices : 1 
Layout : left-symmetric 
Chunk Size : 512K 


Name : linuxprobe.com:0 (local to host linuxprobe.com) 


UUID : 44blal52:3f1809d3:1d234916:4ac70481 
Events : 18 
Number Major Minor RaidDevice State 


0 8 16 0 active sync /dev/sdb 
1 8 32 1 active sync /dev/sdc 
4 8 48 2 active sync /dev/sdd 
3 8 64 一 spare /dev/sde 


7.1 RAID ( 独立 元 余 磁盘 阵列 ) 





现在 将 部 署 好 的 RAID 5 磁盘 阵列 格式 化 为 ext4 文件 格式 ， 然 后 挂 载 到 目录 上 ， 之 后 就 


可 以 使 用 了 。 








[root@linuxprobe ~]# mkfs.ext4 /dev/md0 

mke2fs 1.42.9 (28-Dec-2013) 

Filesystem label= 

OS type: Linux 

Block size=4096 (Log=2) 

Fragment size=4096 (Log=2) 

Stride=128 blocks, Stripe width=256 blocks 
2621440 inodes, 10477312 blocks 

523865 blocks (5.00%) reserved for the super user 
First data block=0 

Maximum filesystem blocks=2157969408 

320 block groups 

32768 blocks per group, 32768 fragments per group 
8192 inodes per group 

Superblock backups stored on blocks: 


32768, 98304, 163840, 229376, 294912, 819200, 884736, 


4096000, 7962624 

Allocating group tables: done 

Writing inode tables: done 

Creating journal (32768 blocks): done 


Writing superblocks and filesystem accounting information: 


1605632, 2654208, 


done 


[root@linuxprobe ~]# echo "/dev/md0 /RAID ext4 defaults 0 0" >> /etc/fstab 


[root@linuxprobe ~]# mkdir /RAID 
[root@linuxprobe ~]# mount -a 








最 后 是 见证 奇迹 的 时 刻 ! 我 们 再 次 把 硬盘 设备 /dev/sdb 移出 磁盘 阵列 ， 然 后 迅速 查看 
/dev/imd0 磁盘 阵列 的 状态 , 就 会 发 现 备 份 盘 已 经 被 自动 顶 奉 上 去 并 开始 了 数据 同步 。RAID 中 
的 这 种 备份 盘 技术 非常 实用 ， 可 以 在 保证 RAID 磁盘 阵列 数据 安全 性 的 基础 上 进一步 提高 数 
据 可靠 性 ， 所 以 ， 如 果 公 司 不 差 钱 的 话 还 是 再 买 上 一 块 备份 盘 以 防 万 一 。 






























































[root@linuxprobe ~]# mdadm /dev/md0 -f /dev/sdb 
mdadm: set /dev/sdb faulty in /dev/md0 
[root@linuxprobe ~]# mdadm -D /dev/md0 
/dev/mdo: 


Version 

Creation T 
Raid Level 
Array Size 


Bi2 

ime : Fri May 8 09:20:35 2017 
raid5 
41909248 (39.97 GiB 42.92 GB) 
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使 用 RAID 与 LVM 磁盘 阵列 技术 


Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
Raid Devices : 3 

Total Devices : 4 

Persistence : Superblock is persistent 
Update Time : Fri May 8 09:23:51 2017 

State : active, degraded, recovering 

Active Devices : 2 

Working Devices : 3 

Failed Devices : 1 

Spare Devices : 1 

Layout : left-symmetric 

Chunk Size : 512K 

Rebuild Status : 0% complete 

Name : linuxprobe.com:0 (local to host linuxprobe.com) 
UUID : 44blal52:3f1809d3:1d234916:4ac70481 
Events : 21 

Number Major Minor RaidDevice State 


3 8 64 0 spare rebuilding /dev/sde 
1 8 32 1 active sync /dev/sdc 
4 8 48 2 active sync /dev/sdd 
0 8 16 > faulty /dev/sdb 





7.2 LVM ( 逻辑 卷 管理 器 





前 面 学 习 的 硬盘 设备 管理 技术 虽然 能 够 有 效 地 提高 硬盘 设备 的 读 写 速度 以 及 数据 的 
安全 性 , 但 是 在 硬盘 分 好 区 或 者 部 署 为 RAID 磁盘 阵列 之 后 ， 再 想 修 改 硬盘 分 区 大 小 就 不 
容易 了 。 换 句 话 说 ， 当 用 户 想 要 随 着 实际 需求 的 变化 调整 硬盘 分 区 的 大 小 时 , 会 受到 硬盘 
“灵活 性 ”的 限制 。 这 时 就 需要 用 到 男 外 一 项 非常 普及 的 人 硬盘 设备 资源 管理 技术 了 一 一 LVM 
(逻辑 卷 管理 器 )。LVM 可 以 允许 用 户 对 硬盘 资源 进行 动态 调整 。 

逻辑 卷 管理 器 是 Linux 系统 用 于 对 硬盘 分 区 进行 管理 的 一 种 机 制 ， 理 论 性 较 强 ， 其 创建 
初衷 是 为 了 解决 硬盘 设备 在 创建 分 区 后 不 易 修 改 分 区 大 小 的 缺陷 。 尽 管 对 传统 的 硬盘 分 区 进 
行 强制 扩容 或 缩 容 从 理论 上 来 讲 是 可 行 的 , 但 是 却 可 能 造成 数据 的 丢失 。 而 LVM 技术 是 在 硬 
盘 分 区 和 文件 系统 之 间 添 加 了 一 个 逻辑 层 ， 它 提供 了 一 个 抽象 的 卷 组 ， 可 以 把 多 块 硬盘 进行 
卷 组 合并 。 这 样 一 来 ， 用 户 不 必 关 心 物理 硬盘 设备 的 低层 架构 和 布局 ， 就 可 以 实现 对 硬盘 分 
区 的 动态 调整 。LVM 的 技术 架构 如 图 7-7 所 示 。 
VG ( 卷 组 ) 










































































图 7-7 逻辑 卷 管理 器 的 技术 结构 
为 了 帮助 大 家 理解 ， 刘 递 老 师 来 举 一 个 吃 货 的 例子 。 比 如 小 明 家 里 想 吃 馒头 但 是 面粉 不 
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7.2 LVM (逻辑 卷 管理 器 ) 























够 了 ， 于 是 妈妈 从 隔壁 老 王 家 、 老 李 家 、 老 张 家 分 别 借 来 一 些 面 粉 ， 准 备 蒸 馒头 吃 。 首 先 需 
要 把 这 些 面粉 ( 物理 卷 [PV，Physical Volume] ) 揉 成 一 个 大 面团 ( 卷 组 [YG，Volume Group] )， 
然后 再 把 这 个 大 团 面 分 割 成 一 个 个 小 馒头 〈 逻 辑 卷 [LV，Logical Volume] )， 而 且 每 个 小 馒头 
的 重量 必须 是 每 勺 面粉 ( 基本 单元 [PE，Physical Extent] ) 的 倍数 。 

物理 卷 处 于 LVM 中 的 最 底层 ,可 以 将 其 理解 为 物理 硬盘 硬盘 分 区 或 者 RAID 磁盘 阵列 ， 
这 都 可 以 。 卷 组 建立 在 物理 卷 之 上 ， 一 个 卷 组 可 以 包含 多 个 物理 卷 ， 而 且 在 卷 组 创建 之 后 也 
可 以 继续 向 其 中 添加 新 的 物理 卷 。 逻 辑 卷 是 用 卷 组 中 空闲 的 资源 建立 的 ， 并 且 逻 辑 卷 在 建立 
后 可 以 动态 地 扩展 或 缩小 空间 。 这 就 是 LVM 的 核心 理念 。 


7.2.1 部 署 逻 辑 卷 


一 般 而 言 ， 在 生产 环境 中 无 法 精确 地 评估 每 个 硬盘 分 区 在 日 后 的 使 用 情况 ， 因 此 会 导致 
原先 分 配 的 硬盘 分 区 不 够 用 。 比 如 ， 伴 随 着 业务 量 的 增加 ， 用 于 存放 交易 记录 的 数据 库 目 录 
的 体积 也 随 之 增加 ; 因为 分 析 并 记录 用 户 的 行为 从 而 导致 日 志 目 录 的 体积 不 断 变 大 ， 这 些 都 
会 导致 原 有 的 硬盘 分 区 在 使 用 上 捉襟见肘 。 而 且 ， 还 存在 对 较 大 的 硬盘 分 区 进行 精简 缩 容 的 
情况 。 

我 们 可 以 通过 部 署 LVM 来 解决 上 述 问题 。 部 团 LVM 时 ， 需 要 逐个 配置 物理 卷 、 卷 组 和 
逻辑 卷 。 常 用 的 部 署 命令 如 表 7-2 所 示 。 











































































































表 7-2 常用 的 LVM 部 署 命令 
功能 /命令 物理 卷 管理 卷 组 管理 逻辑 卷 管理 

扫描 pvscan vgscan lvscan 

建立 pvcreate vgcreate lvcreate 

显示 pvdisplay vgdisplay lvdisplay 
删除 pvremove vgremove lvremove 

扩展 vgextend lvextend 

缩小 vgreduce lvreduce 

















为 了 避免 多 个 实验 之 间 相 互 发 生 冲 突 ， 请 大 家 自行 将 虚拟 机 还 原 到 初始 状态 ， 并 在 虚拟 
机 中 添加 两 块 新 硬盘 设备 ， 然 后 开机 ， 如 图 7-8 所 示 。 

在 虚拟 机 中 添加 两 块 新 硬盘 设备 的 目的 ， 是 为 了 更 好 地 演示 LVM 理念 中 用 户 无 需 关 
心底 层 物理 硬盘 设备 的 特性 。 我们 先 对 这 两 块 新 硬盘 进行 创建 物理 卷 的 操作 , 可 以 将 该 操 
作 简 单 理解 成 让 硬盘 设备 支持 LVM 技术 ,或 者 理解 成 是 把 硬盘 设备 加 入 到 LVM 技术 可 
用 的 硬件 资源 池 中 ， 然 后 对 这 两 块 便 盘 进 行 卷 组 合并 ， 卷 组 的 名 称 可 以 由 用 户 来 自 定义 。 
接 下 来 ， 根 据 需求 把 合并 后 的 卷 组 切割 出 一 个 约 为 150MB 的 逻辑 卷 设备 ， 最 后 把 这 个 逻 
辑 卷 设备 格式 化 成 EXT4 文件 系统 后 挂 载 使 用 。 在 下 文中 , 刘 邀 老师 将 对 每 一 个 步 又 再 作 
一 些 简 单 的 描述 。 

第 1 步 : 让 新 添加 的 两 块 硬盘 设备 支持 LVM 技术 。 


























[root@linuxprobe ~]# pvcreate /dev/sdb /dev/sdc 
Physical volume "/dev/sdb" successfully created 
Physical volume "/dev/sdc" successfully created 
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摘要 内 存 
本 给 此 上 了 机 的 内 存量 。 内 存 大 小 必须 为 4 NB 
马 硬 盘 (5CS]) 2 此 虚拟 机 的 内 存 (M): 2048 所 | MB 
局 新 硬盘 (5CSI) 20 GB 
局 新 硬盘 (5CSI1) 20 GB 六 
CD/DVD (SATA) 正在 使 用 文件 F:\ISO images\RHEL-s... 0 
刚 网 络 适配器 保 主 机 模式 了 
剧 显 示 动 检 定 
加 显示 器 自动 检测 Se _。 日 最 大 建议 内 让 
4GB (超出 此 大 小 可 能 
2c8 山 4 发生 内 存 交 换 。) 
1GB 本 6336 MB 
3 国 建议 内 存 
2 2048 MB 
128 MB 
Ee 口 建议 的 最 小 客户 机 操作 系统 内 存 
22MB 1024 MB 
16 MB 
8MB 
4MB 
已 虚拟 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内 存 。 您 可 以 
在 "显示 器 “设置 页 面 中 更 改 此 数量 。 











国 添 加 (A)… 移 除 (R 




















确定 | 取消 | | 者 助 

















图 7-8 在 虚拟 机 中 添加 两 块 新 的 硬盘 设备 
第 2 步 : 把 两 块 硬盘 设备 加 入 到 storage 卷 组 中 ， 然 后 查看 卷 组 的 状态 。 








[root@linuxprobe ~]# vgcreate storage /dev/sdb /dev/sdc 
Volume group "storage" successfully created 
[root@linuxprobe ~]# vgdisplay 

== Volume group -= 

VG Name storage 

System ID 

Format lvm2 

Metadata Areas 2 

Metadata Sequence No 1 

VG Access read/write 

VG Status resizable 

MAX LV 0 

Cur LV 0 

Open LV 0 

Max PV 0 

CU EV 2 

Act PV 2 

VG Size 39.99 GiB 

PE Size 4.00 MiB 

Total PE 10238 

Alloc PE / Size 0 / 0 Free PE / Size 10238 / 39.99 GiB 
VG UUID KUeAMF-qMLh-xXjQy-ArUo-LCQI-YFO0o-pScxml 

省 略 部 分 输出 信息 ..…. 
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第 3 步 : 切割 出 一 个 约 为 130MB 的 逻辑 卷 设 备 。 

这 里 需要 注意 切割 单位 的 问题 。 在 对 逻辑 卷 进行 切 制 时 有 两 种 计量 单位 。 第 一 种 是 以 容 
量 为 单位 ， 所 使 用 的 参数 为 -L。 例 如 ， 使 用 -L 150M 生成 一 个 大 小 为 150MB 的 逻辑 卷 。 另 外 
一 种 是 以 基本 单元 的 个 数 为 单位 ， 所 使 用 的 参数 为 -1。 每 个 基本 单元 的 大 小 默认 为 4MB。 例 
如 ， 使 用 -137 可 以 生成 一 个 大 小 为 37x4MB=148MB 的 逻辑 卷 。 




















[root@linuxprobe ~]# lvcreate -n vo -1 37 storage 
Logical volume "vo" created 

[root@linuxprobe ~]# lvdisplay 

--- Logical volume --—-— 

LV Path /dev/storage/vo 

LV Name vo 

VG Name storage 

LV UUID DO9HYI~-BHB1-iXGr-X2n4-HEzZzo-FAQH-HRCM2I 
LV Write Access read/write 

LV Creation host, time localhost.localdomain, 2017-02-01 01:22:54 -0500 
LV Status available 





# open 0 

LV Size 148.00 MiB 
Current LE 37 

Segments 1 

Allocation inherit 

Read ahead sectors auto 
— currently set to 8192 
Block device 253:2 
ne 省 略 部 分 输出 信息 














第 4 步 : 把 生成 好 的 逻辑 卷 进行 格式 化 ， 然 后 挂 载 使 用 。 

Linux 系统 会 把 LVM 中 的 逻辑 卷 设备 存放 在 /dev 设备 目录 中 (实际 上 是 做 了 一 个 符号 链 
接 )， 同 时 会 以 卷 组 的 名 称 来 建立 一 个 目录 ， 其 中 保存 了 逮 辑 卷 的 设备 映射 文件 〈 即 /dev/ 卷 组 
名 称 /逻辑 卷 名 称 )。 














[root@linuxprobe ~]# mkfs.ext4 /dev/storage/vo 
mke2fs 1.42.9 (28-Dec-2013) 
Filesystem label= 
OS type: Linux 
Block size=1024 (log=0) 
Fragment size=1024 (Log=0) 
Stride=0 blocks, Stripe width=0 blocks 
38000 inodes, 151552 blocks 
7577 blocks (5.00%) reserved for the super user 
First data block=1 
Maximum filesystem blocks=33816576 
19 block groups 
8192 blocks per group, 8192 fragments per group 
2000 inodes per group 
Superblock backups stored on blocks: 
8193, 24577, 40961, 57345, 73729 
Allocating group tables: done 
Writing inode tables: done 
Creating journal (4096 blocks): done 
Writing superblocks and filesystem accounting information: done 
[root@linuxprobe ~]# mkdir /linuxprobe 
[root@linuxprobe ~]# mount /dev/storage/vo /linuxprobe 
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第 5 步 : 查看 挂 裁 状态 ， 并 写 和 到 配置 文件 ， 使 其 永久 生效 。 











[root@linuxprobe ~]# df -h 

Filesystem Size Used Avail Uses Mounted on 
/dev/mapper/rhel-root 18G 3.0G 15G 17$ / 

devtmpfs 905M 0 905M 0% /dev 

tmpfs 914M 140K 914M 1%$ /dev/shm 

tmpfs 914M 8.8M 905M 1%$ /run 

tmpfs 914M 0 914M 0% /sys/fs/cgroup 

/dev/sr0 3.5G 3.5G 0 100% /media/cdrom 

/dev/sdal 497M 119M 379M 24% /boot 
/dev/mapper/storage-vo 145M 7.6M 138M 6% /linuxprobe 
[root@linuxprobe ~]# echo "/dev/storage/vo /linuxprobe ext4 defaults 0 0" >> / 
etc/fstab 





7.2.2 扩容 逻辑 卷 








在 前 面 的 实验 中 ， 卷 组 是 由 两 块 硬盘 设备 共同 组 成 的 。 用 户 在 使 用 存储 设备 时 感 











知 不 到 设备 底层 的 架构 和 布局 ， 更 不 用 关心 底层 是 由 多 少 块 硬盘 组 成 的 ， 只 要 卷 组 中 
有 足够 的 资源 ， 就 可 以 一 直 为 逻辑 卷 扩 容 。 扩 展 前 请 一 定 要 记得 印 载 设备 和 挂 载 点 的 
关联 。 





[root@linuxprobe ~]# umount /linuxprobe 





第 1 步 : 把 上 一 个 实验 中 的 逻辑 卷 vo 扩展 至 290MB 。 








[root@linuxprobe ~]# lvextend -L 290M /dev/storage/vo 

Rounding size to boundary between physical extents: 292.00 MiB 
Extending logical volume vo to 292.00 MiB 

Logical volume vo successfully resized 





第 2 步 : 检查 硬盘 完整 性 ， 并 重 置 硬盘 容量 。 








[root@linuxprobe ~]# e2fsck -f /dev/storage/vo 
e2fsck 1.42.9 (28-Dec-2013) 
Pass 1: Checking inodes, blocks, and sizes 


Pass 2: Checking directory structure 
Pass 3: Checking directory connectivity 
Pass 4: Checking reference counts 


Pass 5: Checking group summary information 

/dev/storage/vo: 11/38000 files (0.0% non-contiguous), 10453/151552 blocks 
[root@linuxprobe ~]# resize2fs /dev/storage/vo 

resize2fs 1.42.9 (28-Dec-2013) 

Resizing the filesystem on /dev/storage/vo to 299008 (lk) blocks. 

The filesystem on /dev/storage/vo is now 299008 blocks long. 








第 3 步 : 重新 挂 载 硬盘 设备 并 查看 挂 载 状 态 。 
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[root@linuxprobe ~]# mount -a 
[root@linuxprobe ~]# df -h 


Filesystem Size Used Avail Uses Mounted on 
/dev/mapper/rhel-root 18G 3.0G 15G 17% / 

devtmpfs 985M 0 985M 0%$ /dev 

tmpfs 994M 80K 994M 1%$ /dev/shm 


tmpfs 
tmpfs 


/dev/sr0 
/dev/sdal 
/dev/mapper/storage-vo 


994M 
994M 
32356 
497M 
279M 


7.2 LVM (逻辑 卷 管理 器 ) 


86M 1$ /run 

94M 0% /sys/fs/cgroup 
0 100% /media/cdrom 

79M 24% /boot 

59M 1% /linuxprobe 
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行 缩 容 操作 之 前 ， 要 先 检查 文 作 


缩小 逻辑 卷 


相 较 于 扩容 逻辑 卷 ， 在 对 逻辑 卷 进行 缩 容 操作 时 ， 
环境 中 执行 相应 操作 时 ,一 定 要 提前 备份 好 数据 。 另 外 Linux 系统 规定 ,在 对 LVM 逻辑 卷 进 











行 缩 容 操作 前 记得 先 把 


UL 

















其 丢失 数据 的 风险 更 大 。 所 以 在 生产 

















F} 系 统 的 完整 性 ( 当然 这 也 是 为 了 保证 我 们 的 数据 安全 ) 在 执 
文件 系统 印 载 掉 。 








[root@linuxprobe ~]# umount /linuxprobe 








第 1 步 : 检查 文件 


系统 的 完整 性 。 





[root@linuxprobe ~]# e2fsck -f /dev/storage/vo 
1.42.9 (28-Dec-2013) 


e2fsc 
Bass 
Pass 
Pass 
Pass 
Bass 


Kk 


1: Checking 
必 汪 
3 
4 


Checking 


: Checking 
: Checking 
5: 


Checking 


/dev/storage/vo: 


inodes, b 


locks, 


and sizes 


directory structure 


directory connectivity 


reference 


group summary information 


11/74000 


counts 


files (0.0% non-contiguous), 15507/299008 blocks 





第 2 步 : 把 逻辑 卷 vo 的 容量 减 小 到 120MB 。 





[root@linuxprobe ~]# resize2fs /dev/storage/vo 120M 
resize2fs 1.42.9 
Resizing the filesystem on /dev/storage/vo to 122880 (lk) blocks. 


(28-Dec-2 


013) 


The filesystem on /dev/storage/vo is now 122880 blocks long. 


[root@linuxprobe ~]# lvreduce -L 120M /dev/storage/vo 
WARNING: Reducing active logical volume to 120.00 MiB 
THIS MAY DESTROY YOUR DATA (filesystem etc.) 

Do you really want to reduce vo? 


[y/n]: y 


Reducing logical volume vo to 120.00 MiB 


Logical volume vo successfully resized 





第 3 步 : 重新 挂 载 文件 系统 并 查看 系统 状态 。 





[root@linuxprobe ~]# mount -a 
[root@linuxprobe ~]# df -h 
Filesystem 


Size 


/dev/mapper/rhel-root 18G 


devtmpfs 


tmpfs 
tmpfs 
tmpfs 


/dev/sr0 
/dev/sdal 
/dev/mapper/storage-vo 113M 1.6M 


985M 
994M 
994M 
994M 
3.5G 
497M 


Used 
3.0G 
0 
80K 
8.8M 
0 
3.5G 
119M 


Mounted on 

/ 

/dev 

/dev/shm 

/run 
/sys/fs/cgroup 
/media/cdrom 
/boot 
/linuxprobe 
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7.2.4 逻辑 卷 快照 


LVM 还 具备 有 “快照 卷 ” 功能， 该 功能 类 似 于 虚拟 机 软件 的 还 原 时 间 点 功能 。 例 如 ， 可 
以 对 某 一 个 逻辑 卷 设备 做 一 次 快照 ， 如 果 日 后 发 现 数 据 被 改 错 了 ， 就 可 以 利用 之 前 做 好 的 快 
A J 了 窗 盖 还 原 。LVM 的 快照 卷 功能 有 两 个 特点 : 
快照 卷 的 容量 必须 等 同 于 逻辑 卷 的 容量 ; 
快照 卷 仅 一 次 有 效 ， 一旦 执行 还 原 操 作 后 则 会 被 立即 自动 删除 。 
2 























[root@linuxprobe ~]# vgdisplay 
--- Volume group --—-— 

VG Name storage 

System ID 

Format lvm2 

Metadata Areas 2 

Metadata Sequence No 4 

VG Access read/write 

VG Status resizable 

MAX LV 0 

Cur LV 1 

Open LV 1 

Max PV 0 

Cur PV 2 

Act PV 2 

VG Size 39.99 GiB 

PE Size 4.00 MiB 

Total PE 10238 

Alloc PE / Size 30 / 120.00 MiB Free PE / Size 10208 / 39.88 GiB 
VG UUID CTaHAK-0TQVv-Abdb-R830-RU6V-YYkx-802R0e 
ee 省 略 部 分 输出 信息 


通过 卷 组 的 输出 信息 可 以 清晰 看 到 ， 卷 组 中 已 经 使 用 了 120MB 的 容量 ， 空 闲 容量 还 有 
39.88GB 。 接 下 来 用 重 定向 往 逻 辑 卷 设备 所 挂 载 的 目录 中 写 和 人 一 个 文件 。 






































[root@linuxprobe ~]# echo "Welcome to Linuxprobe.com" > /linuxprobe/readme.txt 
[root@linuxprobe ~]# ls -1 /linuxprobe 

total 14 

村 入 记 允 一 一 天 一 产 一 . 2 root root 12288 Feb 1 07:18 lost+found 

—rw-r--r--. 1 root root 26 Feb 1 07:38 readme.txt 








第 1 步 : 使 用 -s 参数 生成 一 个 快照 卷 ， 使 用 -L 参数 指定 切割 的 大 小 。 另 外 ， 还 需要 在 命 
令 后 面 写 上 是 针对 哪个 逻辑 卷 执 行 的 快照 操作 。 





[root@linuxprobe ~]# lvcreate -L 120M -s -n SNAP /dev/storage/vo 
Logical volume "SNAP" created 

[root@linuxprobe ~]# lvdisplay 

--- Logical volume --—-— 

LV Path /dev/storage/SNAP 

LV Name SNAP 

VG Name storage 

LV UUID BC7WKg-fHoK-Pc7J-yhSd-vD7d-lUnl-TihK1lt 

LV Write Access read/write 
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LV _ Creation host, time localhost.localdomain, 2017-02-01 07:42:31 -0500 
LV snapshot status active destination for vo 
LV Status available 

# open 0 

LV Size 120.00 MiB 

Current LE 30 

COW-table size 120.00 MiB 

COW-table LE 30 

Allocated to snapshot 0.01% 

Snapshot chunk size 4.00 KiB 

Segments 1 

Allocation inherit 

Read ahead sectors auto 

— currently set to 8192 

Block device 253:3 
ee 省 略 部 分 输出 信息 




















第 2 步 : 在 逻辑 卷 所 挂 载 的 目录 中 创建 一 个 100MB 的 垃圾 文件 , 然后 再 查看 快照 卷 的 状 
态 。 可 以 发 现存 储 空间 占 的 用 量 上 升 了 。 








[root@linuxprobe ~]# dd if=/dev/zero of=/linuxprobe/files count=1 bs=100M 
1+0 records in 

1+0 records out 

104857600 bytes (105 MB) copied, 3.35432 s, 31.3 MB/s 
[root@linuxprobe ~]# lvdisplay 

--- Logical volume --—-— 

LV Path /dev/storage/SNAP 

LV Name SNAP 

VG Name storage 

LV UUID BC7WKg-fHoK-Pc7J-yhSd-vD7d-lUnl-TihK1lt 

LV Write Access read/write 

LV Creation host, time localhost.localdomain, 2017-02-01 07:42:31 -0500 
LV snapshot status active destination for vo 

LV Status available 

# open 0 

LV Size 120.00 MiB 

Current LE 30 

COW-table size 120.00 MiB 

COW-table LE 30 

Allocated to snapshot 83.71% 

Snapshot chunk size 4.00 KiB 





Segments 1 

Allocation inherit 

Read ahead sectors auto 
— currently set to 8192 
Block device 253:3 





第 3 步 : 为 了 校 验 SNAP 快照 卷 的 效果 ， 需 要 对 逻辑 卷 进行 快照 还 原 操 作 。 在 此 之 前 记 
得 先 印 载 掉 逻 辑 卷 设备 与 目录 的 挂 载 。 








[root@linuxprobe ~]# umount /linuxprobe 

[root@linuxprobe ~]# lvconvert --merge /dev/storage/SNAP 
Merging of volume SNAP started. 

vo: Merged: 21.4% 
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vo: Merged: 100.0% 
Merge of snapshot into logical volume vo has finished. 
Logical volume "SNAP" successfully removed 


第 4 步 : 快照 卷 会 被 自动 删除 掉 ， 并 且 刚 刚 在 逻辑 卷 设备 被 执行 快照 操作 后 再 创建 出 来 
的 100MB 的 垃圾 文件 也 被 清除 了 。 

















[root@linuxprobe ~]# mount -a 
[root@linuxprobe ~]# ls /linuxprobe/ 
lost+found readme.txt 





7.2.5 ”删除 逻辑 卷 


当 生 产 环 0 LVM 或 者 不 再 需要 使 用 LVM 时 ， 则 需要 执行 LVM 的 删除 
操作 。 为 此 ， 需 要 提前 备份 好 重要 的 数据 信息 ， 然 后 依次 删除 逻辑 卷 、 卷 组 、 物 理 卷 设备 ， 
| 
第 1 步 : 取消 逻辑 卷 与 目录 的 挂 载 关 联 ， 删 除 配置 文件 中 永久 生效 的 设备 参数 。 


























root@linuxprobe ~]# umount /linuxprobe 
root@linuxprobe ~]# vim /etc/fstab 
/etc/fstab 


Created by anaconda on Fri Feb 19 22:08:59 2017 


Accessible filesystems, by reference, are maintained under '/dev/disk' 
See man pages fstab(5), findfs(8), mount (8) and/or blkid(8) for more info 














/dev/mapper/rhel-root / xfs defaults 11 

UUID=50591e35-d47a-4aeb-a0ca-lb4e8336d9bl1 /boot xfs defaults 1 2 

/dev/mapper /rhel-swap swap swap defaults 0 0 

/dev/cdrom /media/cdrom iso9660 defaults 0 0 
= ,人 A、 vs 、| 二 喇 

第 2 步 : 删除 逻辑 卷 设 备 ， 需 要 输入 y 来 确认 操作 。 

[root@linuxprobe ~]# lvremove /dev/storage/vo 


Do you really want to remove active logical volume vo? [y/n] : y 
Logical volume "vo" successfully removed 








第 3 步 : 删除 卷 组 ， 此 处 只 写 卷 组 名 称 即 可 ， 不 需要 设备 的 绝对 路 径 。 


[root@linuxprobe ~]# vgremove storage 








Volume group "storage" successfully removed 


第 4 步 : 删除 物理 卷 设备 。 


[root@linuxprobe ~]# pvremove /dev/sdb /dev/sdc 











Labels on physical volume "/dev/sdb" successfully wiped 
Labels on physical volume "/dev/sdc" successfully wiped 

















在 上 述 操作 执行 完毕 之 后 , 再 执行 lvdisplay、vgdisplay、pvdisplay 命令 来 查看 LVM 的 信 
息 时 就 不 会 再 看 到 信息 了 (前提 是 上 述 步骤 的 操作 是 正确 的 )。 
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| 复习 题 





1 . 





RAID 技术 主要 是 为 了 解决 什么 问题 呢 ? 
答 : RAID 技术 可 以 解决 存储 设备 的 读 写 速度 问题 及 数据 的 元 余 备份 问题 。 





. RAID 0 和 RAID 5 哪个 更 安全 ? 


答 : RAID 0 没有 数据 宛 余 功能 ， 因 此 RAID 5 更 安全 。 





. 假设 使 用 4 块 硬盘 来 部 署 RAID 10 方案 ,外 加 一 块 备份 盘 , 最 多 可 以 允许 几 块 硬盘 同时 损 





坏 呢 ? 
答 : 最 多 人 允许 5 块 硬盘 设备 中 的 3 块 设备 同时 损坏 。 






































.位 于 LVM 最 底层 的 是 物理 卷 还 是 卷 组 ? 




















答 : 最 底层 的 是 物理 卷 ， 然 后 在 通过 物理 卷 组 成 卷 组 。 





. LVM 对 逻辑 卷 的 扩容 和 缩 容 操作 有 何 异 同 点 呢 ? 








答 : 扩容 和 缩 容 操作 都 需要 先 取 消 逻 辑 卷 与 目录 的 挂 载 关联 ; 扩容 操作 是 先 扩容 后 检查 文 
件 系统 完整 性 ， 而 缩 容 操作 为 了 保证 数据 的 安全 ， 需 要 先 检查 文件 系统 完整 性 再 缩 容 。 














. LVM 的 快照 卷 能 使 用 几 次 ? 





答 : 只 可 使 用 一 次 ， 而 且 使 用 后 即 自动 删除 。 


. LVM 的 删除 顺序 是 怎么 样 的 ? 


答 : 依次 移 除 逻辑 卷 、 卷 组 和 物理 卷 。 
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第 8 章 | 


iptables 与 firewalld 防火 墙 


本 章 讲解 了 如 下 内 容 : 


防火 墙 管理 工具 ; 
iptables; 

firewalld; 
服务 的 访问 控制 列表 。 


VvVvev 





保障 数据 的 安全 性 是 继 保障 数据 的 可 用 性 之 后 最 为 重要 的 一 项 工作 。 防火 墙 作 为 公 网 
与 内 网 之 间 的 保护 屏障 , 在 保障 数据 的 安全 性 方面 起 着 至 关 重 要 的 作用 。 考 虑 到 大 家 还 不 
了 解 RHEL 7 中 新 增 的 firewalld 防火 墙 与 先前 版 本 中 iptables 防火 墙 之 间 的 区 别 ， 刘 邀 老 
师 决 定 先 带 领 读 者 从 理论 层面 和 实际 层面 正确 地 认识 在 这 两 款 防火 墙 之 间 的 关系 。 

本 章 将 分 别 使 用 iptables 、firewall-cmd 、firewall-config 和 TCP Wrappers 等 防火 墙 策略 配 
置 服务 来 完成 数 十 个 根据 真实 工作 需求 而 设计 的 防火 墙 策略 配置 实验 。 在 学 习 完 这 些 实验 之 
后 ， 各 位 读者 不 仅 可 以 熟练 地 过 滤 请 求 的 流量 ， 还 可 以 基于 服务 程序 的 名 称 对 流量 进行 允许 
和 拒绝 操作 ， 确 保 Linux 系统 的 安全 性 万 无 一 失 。 





















































| 8.1 ”防火 墙 管理 工具 








众所周知 ， 相 较 于 企业 内 网 ， 外 部 的 公 网 环境 更 加 有 恶劣， 罪恶 丛生。 在 公 网 与 企业 内 网 
之 间 充 当 保 护 屏 障 的 防火 墙 ( 见 图 8-1 ) 虽然 有 软件 或 硬件 之 分 , 但 主要 功能 都 是 依据 策略 对 
穿越 防火 墙 自 身 的 流量 进行 过 滤 。 防 火 墙 策略 可 以 基于 流量 的 源 目地 址 、 端 口号 、 协 议 、 应 
用 等 信息 来 定制 ， 然 后 防火 墙 使 用 预先 定制 的 策略 规则 监控 出 入 的 流量 ， 若 流量 与 某 一 条 策 
略 规则 相 匹配 ， 则 执行 相应 的 处 理 ， 反 之 则 丢弃 。 这 样 一 来 ， 就 可 以 保证 仅 有 合法 的 流量 在 
企业 内 网 和 外 部 公 网 之 间 流 动 了 。 





























Internet 





图 8-1 ”防火墙 作 为 公 网 与 内 网 之 间 的 保护 屏障 
在 RHEL7 系统 中 ，firewalld 防火 墙 取 代 了 iptables 防火 墙 。 对 于 接触 Linux 系统 比较 早 




















8.2 iptables 





或 学 习 过 RHEL 6 系统 的 读者 来 说 , 当 他 们 发 现 兽 经 掌握 的 知识 在 RHEL 7 中 不 再 适用 , 需要 
全 新 学 习 firewalld 时 ， 难 免 会 有 抵触 心理 。 其 实 ，iptables 与 firewalld 都 不 是 真正 的 防火 墙 ， 
它们 都 只 是 用 来 定义 防火 墙 策略 的 防火 墙 管理 工具 而 已 , 或 者 说 , 它们 只 是 一 种 服务 。iptables 
服务 会 把 配置 好 的 防火 墙 策略 交 由 内 核 层面 的 netfilter 网 络 过 滤器 来 处 理 ， 而 firewalld 服务 
则 是 把 配置 好 的 防火 墙 策 略 交 由 内 核 层面 的 nftables 包 过 滤 框 架 来 处 理 。 换 句 话 说 ， 当 前 在 
Linux 系统 中 其 实 存 在 多 个 防火 墙 管理 工具 , 旨 在 方便 运 维 人 员 管 理 Linux 系统 中 的 防火 墙 策 
略 ， 我 们 只 需要 配置 妥当 其 中 的 一 个 就 足够 了 。 虽 然 这 些 工 具 各 有 优 劣 ， 但 它们 在 防火 墙 
略 的 配置 思路 上 是 保持 一 致 的 。 大 家 甚至 可 以 不 用 完全 掌握 本 章 介绍 的 内 容 ， 只 要 在 这 多 个 
防火 墙 管理 工具 中 任 选 一 款 并 将 其 学 透 ， 就 足以 满足 日 常 的 工作 需求 了 。 




















































































































8.2 iptapbles 




















在 早期 的 Linux 系统 中 , 默认 使 用 的 是 iptables 防火 墙 管理 服务 来 配置 防火 墙 。 尽 管 新 型 
的 firewalld 防火 墙 管理 服务 已 经 被 投入 使 用 多 年 ， 但 是 大 量 的 企业 在 生产 环境 中 依然 出 于 各 
种 原因 而 继续 使 用 iptables。 考 虑 到 iptables 在 当前 生产 环境 中 还 具有 顽强 的 生命 力 ， 以 及 为 
了 使 大 家 在 求职 面试 过 程 中 被 问 到 iptables 的 相关 知识 时 能 胸有成竹 , 刘 递 老师 觉得 还 是 有 必 
要 在 本 书 中 好 好 地 讲解 一 下 这 项 技术 。 更 何况 前 文 也 提 到 ， 各 个 防火 墙 管理 工具 的 配置 思路 
是 一 致 的 ， 在 掌握 了 iptables 后 再 学 习 其 他 防火 墙 管理 工具 时 ， 也 有 借鉴 意义 。 


8.2.1 策略 与 规则 链 


防火 墙 会 从 上 至 下 的 顺序 来 读 取 配 置 的 策略 规则 ， 在 找到 匹配 项 后 就 立即 结束 匹配 工作 
并 去 执行 匹配 项 中 定义 的 行为 ( 即 放行 或 阻止 )。 如 果 在 读 取 完 所 有 的 策略 规则 之 后 没有 匹配 
项 , 就 去 执行 默认 的 策略 。 一 般 而 言 , 防火 墙 策略 规则 的 设置 有 两 种 : 一 种 是 “ 通 ”( 即 放行 )， 
一 种 是 “ 堵 ”( 即 阻止 )。 当 防火 墙 的 默认 策略 为 拒绝 时 ( 堵 )， 就 要 设置 允许 规则 ( 通 )， 否 
则 谁 都 进 不 来 ， 如 果 防 火 墙 的 默认 策略 为 允许 时 ， 就 要 设置 拒绝 规则 ， 和 否则 谁 都 能 进来 ， 防 
火 墙 也 就 失去 了 防范 的 作用 。 
iptables 服务 把 用 于 处 理 或 过 滤 流 量 的 策略 条 目 称 之 为 规则 , 多 条 规则 可 以 组 成 一 个 规则 
链 ， 而 规则 链 则 依据 数据 包 处 理 位 置 的 不 同 进行 分 类 ， 具 体 如 下 : 

> 在 进行 路 由 选择 前 处 理 数据 包 ( PREROUTING ); 
处 理 流入 的 数据 包 (INPUT ); 
处 理 流出 的 数据 包 (OUTPUT ); 
处 理 转发 的 数据 包 ( FORWARD ); 
在 进行 路 由 选择 后 处 理 数据 包 (POSTROUTING )。 

一 般 来 说 ， 从 内 网 向 外 网 发 送 的 流量 一 般 都 是 可 控 且 良性 的 ， 因 此 我 们 使 用 最 多 的 就 是 
INPUT 规则 链 ， 该 规则 链 可 以 增 大 黑客 人 员 从 外 网 人 侵 内 网 的 难度 。 

比如 在 您 居住 的 社区 内 ， 物 业 管 理 公 司 有 两 条 规定 : 禁止 小 商 小 贩 进入 社区 ; 各 种 车 辆 
在 进入 社区 时 都 要 登记 。 显 而 易 见 ， 这 两 条 规定 应 该 是 用 于 社区 的 正门 的 ( 流量 必须 经 过 的 
地 方 )， 而 不 是 每 家 每 户 的 防盗 门 上 。 根 据 前 面 提 到 的 防火 墙 策略 的 匹配 顺序 ， 可 能 会 存在 多 
种 情况 。 比 如 ,来 访 人 员 是 小 商 小 贩 ， 则 直接 会 被 物业 公司 的 保安 拒 之 门 外 ， 也 就 无 需 再 对 
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VV vyvyv 
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车 辆 进行 登记 。 如 果 来 访 人 员 乘 坐 一 辆 汽车 进入 社区 正门 ， 则 “禁止 小 商 小 贩 进 入 社区 ”的 





第 一 条 规则 就 没有 被 匹配 到 ， 因 此 按照 顺序 匹配 




















但 是 ， 仅 有 策略 规则 还 不 能 保证 社区 的 安全 








第 二 条 策略 ， 即 需要 对 车 辆 进行 登记 。 如 果 





是 社区 居民 要 进入 正门 ， 则 这 两 条 规定 都 不 会 匹配 到 ， 因 此 会 执行 默认 的 放行 策略 。 


， 保 安 还 应 该 知道 采用 什么 样 的 动作 来 处 理 





这 些 匹 配 的 流量 ， 比 如 “允许”、“ 拒 绝 ”、“ 登 记 ”、“ 不 理 它 ”。 这 些 动作 对 应 到 iptables 服务 
的 术语 中 分 别 是 ACCEPT( 允许 流量 通过 )、REJECT( 拒绝 流量 通过 )、LOG( 记录 日 志 信 息 )、 
DROP ( 拒绝 流量 通过 ) “人 允许 流量 通过 ”和 “记录 日 志 信息 ”都 比较 好 理解 ， 这 里 需要 着 重 
讲解 的 是 REJECT 和 DROP 的 不 同 点 。 就 DROP 来 说 ， 它 是 直接 将 流量 丢弃 而 且 不 响应 ; 






































REJECT 则 会 在 拒绝 流量 后 再 回复 一 条 “您 的 信 ， 








流量 发 送 方 清晰 地 看 到 数据 被 拒绝 的 响应 信息 。 
我 们 来 举 一 个 例子 ， 让 各 位 读者 更 直观 地 理 

您 正在 家 里 看 电视 ， 突 然 听 到 有 人 敲 门 ， 您 透 过 

需要 的 情况 下 开门 并 拒绝 他 们 (REJECT )。 但 如 



























































息 已 经 收 到 ， 但 是 被 扔 掉 了 ”信息 ， 从 而 让 


解 这 两 个 拒绝 动作 的 不 同 之 处 。 比 如 有 一 天 
防盗 门 的 猫眼 一 看 是 推销 商品 的 ， 便 会 在 不 
果 您 看 到 的 是 债主 带 了 十 几 个 小 弟 来 讨债 ， 









































此 时 不 仅 要 拒绝 开门 ， 还 要 默 不 作 声 ， 伪 装 成 自己 不 在 家 的 样子 (DROP )。 
当 把 Linux 系统 中 的 防火 墙 策略 设置 为 REJECT 拒绝 动作 后 ， 流 量 发 送 方 会 看 到 端口 不 





可 达 的 响应 : 








[root@linuxprobe ~]# ping -c 4 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 
From 192.168.10.10 icmp_ seq=1 Destination Port Unreachapble 


From 192.168.10.10 icmp seq=2 Destination Port Unreachable 


From 192.168.10.10 icmp seq=3 Destination Port Unreachable 


From 192.168.10.10 icmp sedq=4 Destination Port Unreachable 


Fe 92768510 0 10 pindg. statisties .===— 


4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3002ms 





而 把 Linux 系统 中 的 防火 墙 策略 修改 成 DROP 拒绝 动作 后 ,流量 发 送 方 会 看 到 响应 超时 





的 提醒 。 但 是 流量 发 送 方 无 法 判断 流量 是 被 拒绝 























， 还 是 接收 方 主机 当前 不 在 线 : 





[root@linuxprobe ~]# ping -c 4 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 


= T92168210.10 ping' stiatistics = 
4 packets transmitted, 0 received, 100% 


packet loss, time 3000ms 





8.2.2 iptables 中 基本 的 命令 参数 








iptables 是 一 款 基于 命令 行 的 防火 墙 策略 管理 
对 于 日 常 的 防火 墙 策略 配置 来 讲 ， 大 家 无 需 深 入 


























工具 ， 具 有 大 量 参数 ， 学 习 难 度 较 大 。 好 在 
了 解 诸 如 “四 表 五 链 ” 的 理论 概念 ， 只 需要 


掌握 常用 的 参数 并 做 到 灵活 搭配 即 可 ， 这 就 足以 应 对 日 常 工作 了 。 





iptables 命令 可 以 根据 流量 的 源 地 址 、 目 的 地 址 、 传 输 协议 、 服 务 类 型 等 信息 进行 匹配 ， 
一 旦 匹配 成 功 ，iptables 就 会 根据 策略 规则 所 预 设 的 动作 来 处 理 这 些 流 量 。 另 外 ， 再 次 提醒 





下 ， 防 火 墙 策略 规则 的 匹配 顺序 是 从 上 至 下 的 ， 









































因此 要 把 较为 严格 、 优 先 级 较 高 的 策略 规则 














放 到 前 面 ， 以 免 发 生 错 误 。 表 8-1 总 结 归纳 了 常用 的 iptables 命令 参数 。 再 次 强调 ， 我 们 无 需 
死记 硬 背 这 些 参 数 ， 只 需 借助 下 面 的 实验 来 理解 掌握 即 可 。 
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表 8-1 iptables 中 常用 的 参数 以 及 作用 
参数 作用 
-Pp 设置 默认 策略 
下 清空 规则 链 
-LL 查看 规则 链 
-A 在 规则 链 的 末尾 加 入 新 规则 
-I num 在 规则 链 的 头 部 加 入 新 规则 
-D_ num 删除 某 一 条 规则 
-s 匹配 来 源 地 址 IP/MASK， 加 叹 号 “!” 表 示 除 这 个 全 外 
-d 匹配 目标 地 址 
-i 网 卡 名 称 匹配 从 这 块 网 卡 流 入 的 数据 
-o 网 卡 名 称 匹配 从 这 块 网 卡 流出 的 数据 
-Pp 匹配 协议 ， 如 TCP、UDP、ICMP 
--qport num 匹配 目标 端口 号 
——-sport num 匹配 来 源 端口 号 




















在 iptables 命令 后 添加 -L 参数 查看 已 有 的 防火 墙 规则 链 : 





[root@linuxprobe ~]# iptables -L 
Chain INPUT (policy ACCEPT) 
target prot opt source destination 


ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED 
ACCEPT all -- anywhere anywhere 

INPUT direct all -- anywhere anywhere 

INPUT ZONES SOURCE all -- anywhere anywhere 

INPUT ZONES all -- anywhere anywhere 

ACCEPT icmp -- anywhere anywhere 

REJECT all -- anywhere anywhere reject-with icmp-host-prohibited 
Te 省 略 部 分 输出 信息 .………… 





ly 


在 iptables 命令 后 添加 -F 参数 清空 已 有 的 防火 墙 规则 链 : 





[root@linuxprobe ~] # iptables -F 

[root@linuxprobe ~] # iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


pe 省 略 部 分 输出 信息 ………………… 








把 INPUT 规则 链 的 默认 策略 设置 为 拒绝 : 





[root@linuxprobe ~]# iptables -P INPUT DROP 
[root@linuxprobe ~]# iptables -L 

Chain INPUT (policy DROP) 

target prot opt source destination 


i 省 略 部 分 输出 信息 
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前 文 提 到 ， 防 火 墙 策略 规则 的 设置 有 两 种 : 通 和 堵 。 当 把 INPUT 链 设置 为 默认 拒绝 后 ， 
就 要 在 防火 墙 策略 中 写 和 允许 策略 了 ， 和 否则 所 有 到 来 的 流量 都 会 被 拒绝 挤 。 另 外 ， 需 要 注意 
的 是 ， 规 则 链 的 默认 拒绝 动作 只 能 是 DROP， 而 不 能 是 REJECT。 

向 INPUT 链 中 添加 允许 ICMP 流量 进入 的 策略 规则 : 

在 日 常 运 维 工作 中 , 经 常会 使 用 ping 命令 来 检查 对 方 主机 是 否 在 线 , 而 向 防火 墙 的 
INPUT 规则 链 中 添加 一 条 允许 ICMP 流量 进入 的 策略 规则 就 默认 允许 了 这 种 ping 命令 检 
测 行 为 。 






























































[root@linuxprobe ~]# iptables -I INPUT -p icmp -j] ACCEPT 
[root@linuxprobe ~]# ping -c 4 192.168.10.10 

PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 

64 bytes from 192.168.10.10: icmp seq=1 ttl1=64 time=0.156 ms 
64 bytes from 192.168.10.10: icmp seq=2 ttl1=64 time=0.117 ms 
64 bytes from 192.168.10.10: icmp seq=3 ttl1=64 time=0.099 ms 
64 bytes from 192.168.10.10: icmp seq=4 ttl1=64 time=0.090 ms 
-= 7192%16810%10 ping. statisties: = 

4 packets transmitted, 4 received, 0% packet loss, time 2999ms 
rtt min/avg/max/mdev = 0.090/0.115/0.156/0.027 ms 


删除 INPUT 规则 链 中 刚刚 加 入 的 那 条 策略 ( 允许 ICMP 流量 )， 并 把 默认 策略 设置 为 
允许 : 








[root@linuxprobe ~]# iptables -D INPUT 1 
[root@linuxprobe ~]# iptables -P INPUT ACCEPT 
[root@linuxprobe ~]# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 


ee 省 略 部 分 输出 信息 .………… 


将 INPUT 规则 链 设 置 为 只 允许 指定 网 段 的 主机 访问 本 机 的 22 端口 ， 拒 绝 来 自 其 他 所 有 
主机 的 流量 : 














[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -pt 上 cp --qport 22 -j 
ACCEPT 

[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -J] REJECT 
[root@linuxprobe ~]# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 





ACCEPT tcp -- 192.168.10.0/24 anywhere 七 cp dpt:ssh 
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable 
es 省 略 部 分 输出 信息 























再 次 重申 ， 防 火 墙 策略 规则 是 按照 从 上 到 下 的 顺序 匹配 的 ， 因 此 一 定 要 把 允许 动作 放 到 
拒绝 动作 前 面 ， 和 否则 所 有 的 流量 就 将 被 拒绝 掉 ， 从 而 导致 任何 主机 都 无 法 访问 我 们 的 服务 。 
另外 ,这 里 提 到 的 22 号 端口 是 ssh 服务 使 用 的 (有关 ssh 服务 , 请 见 下 一 章 )， 刘 六 老师 先 在 
这 里 挖 坑 ， 等 大 家 学 完 第 9 章 后 可 再 验证 这 个 实验 的 效果 。 

在 设置 完 上 述 INPUT 规则 连 之 后 ， 我 们 使 用 IP 地 址 在 192.168.10.0/24 网 段 内 的 主机 访 
问 服务 器 ( 即 前 面 提 到 的 设置 了 INPUG 规则 链 的 主机 ) 的 22 端口 ， 效 果 如 下 : 












































[root@Client A ~]# ssh 192.168.10.10 
The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established. 
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ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts. 
root@192.168.10.10's password: 此 处 输入 对 方 主机 的 root 管理 员 密 码 

Last login: Sun Feb 12 01:50:25 2017 

[root@Client A ~]# 





然后 ， 我 们 再 使 用 卫 地 址 在 192.168.20.0/24 网 段 外 的 主机 访问 服务 器 的 22 端口 ， 效 果 
如 下 ， 就 不 会 提示 连接 请 求 被 拒绝 了 ( Connection failed ): 


[root@Client B ~]# ssh 192.168.10.10 
Connecting to 192.168.10.10:22... 
Could not connect to '192.168.10.10' (port 22): Connection failed. 


向 INPUT 规则 链 中 添加 拒绝 所 有 人 访问 本 机 12345 端口 的 策略 规则 : 


[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 12345 -Jj REJECT 
[root@linuxprobe ~]# iptables -I INPUT -p udp --dport 12345 -j] REJECT 
[root@linuxprobe ~]# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 














REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable 


REJECT 七 cp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable 
ACCEPT tcp -- 192.168.10.0/24 anywhere 七 cp dpt:ssh 
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable 





ee 省 略 部 分 输出 信息 .………… 








向 INPUT 规则 链 中 添加 拒绝 192.168.10.5 主机 访问 本 机 80 端口 ( Web 服务 ) 的 策略 
规则 : 





[root@linuxprobe ~] # iptables -I INPUT -p tcp -s 192.168.10.5 --qport 80 -]j REJECT 
[root@linuxprobe ~] # iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 

REJECT tcp -- 192.168.10.5 anywhere tcp dpt:http reject-with icmp-port-unreachable 


REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable 
REJECT tcp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable 
ACCEPT tcp -- 192.168.10.0/24 anywhere 七 cp dpt:ssh 

REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable 











省略 部 分 输出 信息 … 





向 INPUT 规则 链 中 添加 拒绝 所 有 主机 访问 本 机 1000 一 1024 端口 的 策略 规则 : 





[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 1000:1024 -Jj] REJECT 
[root@linuxprobe ~]# iptables -A INPUT -p udp --dport 1000:1024 -Jj] REJECT 
[root@linuxprobe ~]# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 


REJECT tcp -- 192.168.10.5 anywhere tcp dpt:http reject-with icmp-port-unreachable 
REJECT udp -- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable 
REJECT 七 cp -- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable 
ACCEPT tcp -- 192.168.10.0/24 anywhere 七 cp dpt:ssh 

REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable 
REJECT tcp -- anywhere anywhere tcp dpts:cadlock2:1024 reject-with icmp-port— 
unreachable 

REJECT udp -- anywhere anywhere udp dpts:cadlock2:1024 reject-with icmp-port— 
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unreachable 


de 省 略 部 分 输出 信息 


有 关 iptables 命令 的 知识 讲解 到 此 就 结束 了 , 大 家 是 不 是 意犹未尽 ?考虑 到 Linux 防火 墙 
的 发 展 趋势 ,大 家 只 要 能 把 上 面 的 实例 吸收 消化 ,就 可 以 完全 搞定 日 常 的 iptables 配置 工作 了 。 
但 是 请 特别 注意 , 使 用 iptables 命令 配置 的 防火 墙 规则 默认 会 在 系统 下 一 次 重启 时 失效 , 如果 
想 让 配置 的 防火 墙 策略 永久 生效 ， 还 要 执行 保存 命令 : 

































































[root@linuxprobe ~]# service iptables save 
iptables: Saving firewall rules to /etc/sysconfig/iptables: [ OK ] 





8.3 firewalld 











RHEL 7 系统 中 集成 了 多 款 防火 墙 管 理工 具 , 其 中 firewalld ( Dynamic Firewall Manager of Linux 
systems, Linux 系统 的 动态 防火 墙 管理 器 ) 服务 是 默认 的 防火 墙 配 置 管理 工具 , 它 拥 有 基于 CLI( 命 
令 行 界面 ) 和 基于 GUI ( 图 形 用 户 界面 ) 的 两 种 管理 方式 。 

相 较 于 传统 的 防火 墙 管理 配置 工具 ，firewalld 支持 动态 更 新 技术 并 加 入 了 区 域 (zone ) 
的 概念 。 简 单 来 说 ， 区 域 就 是 firewalld 预先 准备 了 几 套 防火 墙 策略 集合 〈 策略 模板 )， 用 户 可 
以 根据 生产 场景 的 不 同 而 pa 适 的 策略 集合 ， 从 而 实现 防火 墙 策 略 之 间 的 快速 切换 。 例 如， 
我 们 有 一 台 笔 记 本 电脑 ， 每 天 都 要 在 办 公 室 、 咖 啡 厅 和 家 里 使 用 。 按 常理 来 讲 ， 这 三 者 的 安 
全 性 按照 由 高 到 低 的 顺序 来 排列 ， 应 该 是 家 庭 、 公 司 办 公 室 、 咖 啡 厅 。 当 前 ， 我 们 和 希望 为 这 
台 笔 记 本 电脑 指定 如 下 防火 墙 策略 规则 : 在 家 中 允许 访问 所 有 服务 ;在 办 公 室 内 仅 人 允许 访问 
文件 共享 服务 ; 在 咖啡 厅 仅 允许 上 网 浏览 。 在 以 往 ， 我 们 需要 频繁 地 手动 设置 防火 墙 策略 规 
则 ， 而 现在 只 需要 预 设 好 区 域 集合 ， 然 后 只 需 轻 点 鼠标 就 可 以 自动 切换 了 ， 从 而 极 大 地 提升 
了 防火 墙 策略 的 应 用 效率 。firewalld 中 常见 的 区 域名 称 ( 默认 为 public ) 以 及 相应 的 策略 规则 
如 表 8-2 所 示 。 













































































表 8-2 firewalld 中 常用 的 区 域名 称 及 测 了 规则 
区 域 默认 策略 规则 
trusted 允许 所 有 的 数据 包 














拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 相关 ; 而 如 果 流 量 与 sh 、mdns 、ipp-client、 
amba-client 与 dhcpv6-client 服务 相关 ， 则 允许 流量 
internal 等 同 于 home 区 域 


home 


































































































ee 拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 数 相关 ; 而 如 果 流 量 与 ssh 、ipp-client 与 
dhcpv6-client 服务 相关 ， 则 允许 流量 

ee 拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 相关 ; 而 如 果 流 量 与 ssh、dhcpv6-client 服务 
相关 ， 则 允许 流量 

external 拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 相关 ; 而 如 果 流 量 与 ssh 服务 相关 ， 则 允许 流量 

dmz 拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 相关 ; 而 如 果 流 量 与 ssh 服务 相关 ， 则 允许 流量 

block 拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 相关 

drop 拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 相关 
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第 2 章 在 讲解 Linux 命令 时 
































8.3 firewalld 





曾经 听 到 ， 命 令 行 终端 是 一 种 极 富 效率 的 工作 方式 ， 
firewalld-cmd 是 firewalld 防火 墙 配置 管理 工具 的 CLI ( 命令 行 界 面 ) 版 本 。 它 的 参数 一 般 都 





是 以 “长 格式 ”来 提供 的 ， 大 家 不 要 一 听 到 长 格式 就 头 大 ， 因 为 RHEL 7 系统 支持 部 分 命令 


的 参数 补 齐 ， 其 中 就 包含 这 条 命令 (很 酷 吧 )。 也 就 是 说 ， 现 在 除了 能 用 Tab 键 自动 补 齐 命令 
或 文件 名 等 内 容 之 外 ， 还 可 以 用 Tab 键 来 补 齐 表 8-3 中 所 示 的 长 格式 参数 了 ( 这 太 棒 了 )。 

















表 8-3 firewalld-cmd 命令 中 使 用 的 参数 以 及 作用 

参数 作用 
--get-dqefault-zone 查询 默认 的 区 域名 称 

set-default-zone=< 区 域名 称 > | 设置 默认 的 区 域 ， 使 其 永久 生效 











-get-zones 














显示 可 用 的 区 域 











—--get-services 


显示 预先 定义 的 服务 








get-active-zones 














显示 当前 正在 使 ) 





] 的 区 域 与 网 卡 名 称 








--add-source= 


将 源 自 此 下 或 子 网 的 流量 导向 指定 的 区 域 











TOMmMOVersSouUrCe= 


不 再 将 源 自 此 下 或 子 网 的 流量 导向 某 个 指定 区 域 






















































































--add-interface=< 网 卡 名 称 > 将 源 自 该 网 卡 的 所 有 流量 都 导向 某 个 指定 区 域 
change-interface=< 网 卡 名 称 > | 将 某 个 网 卡 与 区 域 进行 关联 

--1ist-al1 显示 当前 区 域 的 网 卡 配置 参数 、 资 源 、 端 口 以 及 服务 等 信息 
list-all-zones 显示 所 有 区 域 的 网 卡 配置 参数 、 资 源 、 端 口 以 及 服务 等 信息 
addq-service=< 服 务 名 > 设置 默认 区 域 允 许 该 服务 的 流量 
add-port=< 端 口号 /协议 > 设置 默认 区 域 允 许 该 端口 的 流量 
remove-service=< 服 务 名 > 设置 默认 区 域 不 再 允许 该 服务 的 流量 
remove-port=< 端 口号 /协议 > 设置 默认 区 域 不 再 允许 该 端口 的 流量 



























































--zeload 让 “永久 生效 ”的 配置 规则 立即 生效 ， 并 履 盖 当 前 的 配置 规则 
—-panic-on 启 应 急 状 况 模 式 
—-panic-off 关闭 应 急 状 况 模 式 











与 Linux 系统 中 其 他 的 防火 墙 策略 配置 工具 一 样 ， 使 用 firewalld 配置 的 防火 墙 策略 默认 
为 运行 时 (Runtime ) 模式 ， 又 称 为 当前 生效 模式 ， 而 且 随 着 系统 的 重启 会 失效 。 如 果 想 让 配 
置 策略 一 直 存 在 ， 就 需要 使 用 永久 (Permanent ) 模式 了 ， 方 法 就 是 在 用 firewall-cmd 命令 正 
常设 置 防火 墙 策略 时 添加 --permanent 参数 , 这 样 配置 的 防火 墙 策略 就 可 以 永久 生效 了 。 但 


























是 ,永久 生效 模式 有 一 个 “不 近 人 情 ”的 特点 ， 曾 
后 才能 自动 生效 。 如 果 想 让 配置 的 策略 立即 生效 ,需要 手动 执行 firewall-cmd --reload 命令 。 
接 下 来 的 实验 都 很 简单 ， 但 是 提醒 大 家 一 定 要 仔细 查看 刘 道 老师 使 用 的 是 Runtime 模式 






































是 使 用 它 设置 的 策略 只 有 在 系统 重启 之 





























还 是 Permanent 模式 。 如 果 不 关 注 这 个 细节 ， 就 算是 正确 配置 了 防火 墙 策略 ， 也 可 能 无 法 达 











到 预期 的 效果 。 








查看 firewalld 服务 当前 所 使 用 的 区 域 : 











root@linuxprobe ~]# firewall-cmd --get-default-zone 
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public 
查询 eno16777728 网 卡 在 firewalld 服务 中 的 区 域 : 


[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728 











public 


把 
区 域名 称 : 


别 查 看 当前 与 永久 模式 下 的 
[root@linuxprobe ~]# firewall-cmd --Permanent --zone=external --change-interface= 








firewalld 服务 中 eno16777728 网 卡 的 默认 区 域 修改 为 external， 并 在 系统 重启 后 生效 。 分 















































eno16777728 
success 
[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728 
public 
[root@linuxprobe ~]# firewall-cmd --permanent --get-zone-of-interface=eno16777728 
external 
把 firewalld 服务 的 当前 默认 区 域 设置 为 public: 
[root@linuxprobe ~]# firewall-cmd --set-default-zone=public 


success 
[root@linuxprobe ~]# firewall-cmd --get-default-zone 








public 
启动 /关闭 firewalld 防火 墙 服务 的 应 急 状 况 模 式 , 阻 断 一 切 网 络 连接 ( 当 远 程控 制服 务 器 





时 请 慎 用 ): 


[root@linuxprobe ~]# firewall-cmd --panic-on 





success 
[root@linuxprobe ~]# firewall-cmd --panic-off 


Success 


查询 public 区 域 是 否 允 许 请 求 SSH 和 HTTPS 协议 的 流量 : 


[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=ssh 

















yes 





[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https 


no 


把 


[root@linuxprobe ~ 





firewalld 服务 中 请 求 HTTPS 协议 的 流量 设置 为 永久 人 允许， 并 立即 生效 : 
# firewall-cmd --zone=public --add-service=https 


# firewall-cmd --Permanent --zone=public --add-service=https 














success 
[root@linuxprobe ~ 
success 
[root@linuxprobe ~]# firewall-cmd --reload 
success 

firewalld 服务 中 请 求 HTTP 协议 的 流量 设置 为 永久 拒绝 ， 并 立即 生效 : 


把 
[wy 
# firewall-cmd --Permanent --zone=public --remove-service=http 


[root@linuxprobe ~ 























success 
[root@linuxprobe ~]# firewall-cmd --reload 


Success 
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把 在 firewalld 服务 中 访问 8080 和 8081 端口 的 流量 策略 设置 为 允许 ， 但 仅 限 当前 生效 ; 





[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp 
success 

[root@linuxprobe ~]# firewall-cmd --zone=public --list-ports 
8080-8081/tcp 











把 原本 访问 本 机 888 端口 的 流量 转发 到 22 端口 ， 要 且 求 当前 和 长 期 均 有 效 : 








4 


流量 转发 命令 格式 为 firewall-cmd --permanent --zone=< 区 域 > --add-forward-port=port= 


< 源 端 口号 >:proto=< 协 议 >:toport=< 目 标 端口 号 >:toaddr=< 目 标 IP 地 址 > 





[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-forward-port 
port=888:proto=tcp:toport=22:toaddr=192.168.10.10 

success 

[root@linuxprobe ~]# firewall-cmd --reload 

success 








在 客户 端 使 用 ssh 命令 尝试 访问 192.168.10.10 主机 的 888 端口 : 





[root@client A ~]# ssh -p 888 192.168.10.10 


The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]:888)' can't 


be established. 
ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a. 


Are you sure you want to continue connecting (yes/no)? yes 


Warning: Permanently added ' [192.168.10.10]:888' (ECDSA) to the list of known hosts. 


root@192.168.10.10's password: 此 处 输入 远程 root 管理 员 的 密码 
Last login: Sun Jul 19 21:43:48 2017 from 192.168.10.10 








firewalld 中 的 富 规 则 表示 更 细致 、 更 详细 的 防火 墙 集 略 配 置 ， 它 可 以 针对 系统 服务 、 

















端 


口号 、 源 地 址 和 目标 地 址 等 诸多 信息 进行 更 有 正 对 性 的 策略 配置 。 它 的 优先 级 在 所 有 的 防火 








墙 策略 中 也 是 最 高 的 。 比 如 ， 我 们 可 以 在 firewalld 服务 中 配置 一 条 富 规 则 ， 使 其 











192.168.10.0/24 网 段 的 所 有 用 户 访问 本 机 的 ssh 服务 (22 端口 ): 


E 绝 





[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-rich-rule= 


= 


m 


rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject" 


success 
[root@linuxprobe ~]# firewall-cmd --reload 


Success 








在 客户 端 使 用 ssh 命令 尝试 访问 192.168.10.10 主机 的 ssh 服务 ( 22 端口 ): 





[root@client A ~]# ssh 192.168.10.10 
Connecting to 192.168.10.10:22... 
Could not connect to '192.168.10.10' (port 22): Connection failed. 





8.3.2 ”图 形 管理 工具 











在 各 种 版 本 的 Linux 系统 中 ， 几 乎 没有 能 证 刘 站 老 师 欣 奈 并 推荐 的 图 形 化 工具 ， 但 是 
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firewall-config 做 到 了 。 它 是 firewalld 防火 墙 配 置 管理 工具 的 GUI ( 图 形 用 户 界面 ) 版 本 ， 几 
乎 可 以 实现 所 有 以 命令 行 来 执行 的 操作 。 毫 不 夸张 的 说 ， 即 使 读者 没有 扎实 的 Linux 命令 基 





础 ， 也 完全 可 以 通过 它 来 妥善 配置 RHEL 7 中 的 防火 墙 
所 示 ， 其 功能 具体 如 下 。 


1: 选择 运行 时 





中 DoDOoA 上 ownP 





10: 管理 防火 墙 





VV VVVv VvVvVvvVvyvVvyvyY 


流量 。 


Vv 





(Runtime ) 模式 或 永久 〔 Permanent ) 模式 的 配置 。 


: 可 选 的 策略 集合 区 域 列表 。 

: 常用 的 系统 服务 列表 。 

: 当前 正在 使 用 的 区 域 。 

管理 当前 被 选中 区 域 中 的 服务 。 

管理 当前 被 选中 区 域 中 的 端口 。 

: 开启 或 关闭 SNAT ( 源 地 址 转换 协议 ) 技术 。 
设置 端口 转发 策略 。 

: 控制 请 求 icmp 服务 的 流量 。 





的 富 规 则 。 


管理 网 卡 设备 。 
: 被 选中 区 域 的 服务 ， 若 勾 选 了 相应 服务 前 面 的 复 选 框 ， 则 表示 允许 与 之 相关 


13: firewall-config 工具 的 运行 状态 。 


当 策 略 。firewall-config 的 界面 如 图 8-2 








Configuration: Runtime 


天 -一 一 
| 
Zones | Services 


Zone 
block 
dmz 
drop 
external 
home 


internal 


trusted 


work 





Connected. 

















刘 六 老 师 再 嘿 呆 几 句 。 在 使 用 firewall-config 工具 配置 完 防火 墙 
二 次 确认 ， 因 为 只 要 有 修改 内 容 ， 它 就 自动 进行 保存 。 下 面 进 





Firewall Configuration 


File Options View Help 


v 四 


A ,ad 2 和 defines the level of trust for network connections, interfaces and source addresses bound to the zone. The 


zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 
bound to interfaces and source 5 


NS @ ® 加 
Services | Ports | Masquerading | Port Forwarding ICMP Filter Rich Rules |Interfaces 
Here you can define which services are trusted in the zone, Trusted services are accessible from 


all hosts and networks that can reach the machine from connections, interfaces and sources bound 
to this zone. 


erVIiCe 
amanda-client 
bacula 
bacula-client 
dhcp 
dhcpv6 

禄 dhcpv6-client 
dns 


ftp 


BB DefaultZone: public Lockdown: disabled Panic Mode: disabl 


图 8-2 firewall-config 的 界面 








> 


ed 





省 策略 之 后 ， 无 须 进 
行动 手 实 践 环 节 。 


我 们 先 将 当前 区 域 中 请 求 http 服务 的 流量 设置 为 允许 ， 但 仅 限 当前 生效 。 上 有 具体 配置 如 图 


8-3 所 示 。 








尝试 添加 一 条 防火 墙 策略 规则 ,使 其 放行 访问 8080 一 8088 端口 (TCP 协议 ) 的 流量 ， 
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并 将 其 设置 为 永久 生效 ， 以 达到 系统 重启 后 防火 墙 策略 依然 生效 的 目的 。 在 按照 图 8-4 所 
示 的 界面 配置 完毕 之 后 , 还 需要 在 Options 菜单 中 单 击 Reload Firewalld 命令 , 让 配置 的 防 
火 墙 策略 立即 生效 〈 见 图 8-5 )。 这 与 在 命令 行 中 执行 --reload 参数 的 效果 一 样 。 



























































Firewall Configuration ene 
File Options View Help 
全 
A firewalld zone defines the level of trust for network connections, interfaces and source addresses bound to the zone. The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 
bound to interfaces and source addresses. 
Zz 
i < Ports | Masquerading | Port Forwarding |ICMP Filter Rich Rules Interfaces 
bloc 一 Pe 一 i ee 
d Here you can define which services are trusted in the zone. Trusted services are accessible from 
ne all hosts and networks that can reach the machine from connections, interfaces and sources bound 
drop to this zone. 
external senics 
home 
口 ftp 
internal | > SR 
:| 口 high-availability 
Er 
trusted 
口 https 
work 
口 imaps 
口 ipp 
口 ipp-client 
口 ipsec 
Connected. Default Zone: public Lockdown: disabled Panic Mode: disabled 








图 8-3 ”放行 请 求 http 服务 的 流量 


Port and Protocol 


Please enter a port and protocol, 





Port / Port Range: | 8080-8088 





Protocol: | tcp Y | 


| Cancel 





图 8-4 ”放行 访问 8080 一 8088 端口 的 流量 


前 面 在 讲解 firewall-config 工具 的 功能 时 ， 曾 经 提 到 了 SNAT (Source Network Address 
Translation ， 源 网 络 地 址 转换 ) 技术 。SNAT 是 一 种 为 了 解决 IP 地 址 匮乏 而 设计 的 技术 ， 它 
可 以 使 得 多 个 内 网 中 的 用 户 通 过 同一 个 外 网 IP 接 入 Internet。 该 技术 的 应 用 非常 广泛 , 其 至 
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可 以 说 我 们 每 天 都 在 使 用 ,只 不 过 没有 察觉 到 罢了 。 比 如 ， 当 我 们 通过 家 中 的 网 关 设 备 ( 比 
如 无 线路 由 器 ) 访问 本 书 配套 站 点 www.linuxprobe.com 时 ， 就 用 到 了 SNAT 技术 。 


天 











am 
Firewall Configuration 品 

File Options View Help 
Con Ob Rast 

匡 Change Zones of Connections， > 

0 
Change Default Zone 

Afir k connections, interfaces and source addresses bound to the zone. The 
zont Panic Mode ng, port/packet forwarding, icmp filters and rich rules. The zone can be 
boul 

Lockdown 

z 

Ce 《 | services| Ports! Masquerading | Port Forwarding |ICMP Filter |Rich Rules | Interfaces > 

Bok 9 a 9 

oc 
d Add entries to forward ports either from one port to another on the local system or from the local 
a system to another system. Forwarding to another system is only useful if the interface is 

drop masqueraded. Port forwarding is IPv4 only. 

ter Port Protocol ToPort ToAddress 

tome 888 tcp 22 

internal 

trusted 

work 

EN NE Add 

Connected. Default Zone: public Lockdown: disabled Panic Mode: disabled 








图 8-5 让 配置 的 防火 墙 策略 规则 立即 生效 

















大 家 可 以 看 一 下 在 网 络 中 不 使 用 SNAT 技术 ( 见 图 8-6 ) 和 使 用 SNAT 技术 ( 见 图 8-7 ) 
时 的 情况 。 在 图 8-6 所 示 的 局 域 网 中 有 多 台 PC， 如 果 网 关 服 务 器 没有 应 用 SNAT 技术 ， 则 互 
联网 中 的 网 站 服务 器 在 收 到 PC 的 请 求 数据 包 , 并 回 送 响 应 数据 包 时 , 将 无 法 在 网 络 中 找到 这 
个 私有 网 络 的 IP 地 址 ， 所 以 PC 也 就 收 不 到 响应 数据 包 了 。 在 图 8-7 所 示 的 局 域 网 中 ， 由 于 


网 关 服 务 絮 应 用 了 SNAT 技术 , 所 以 互联 网 中 的 网 站 服务 咒 会 将 响应 数据 包 发 给 网 关 服 务 需 ， 
再 由 后 者 转发 给 局 域 网 中 的 PC。 








网 关 服 务 器 
局 域 网 PC 机 外 网 : 111. 196. 211. 212 互联 网 中 的 网 站 服务 器 
192. 168. 10. 10 内 网 : 192. 168. 10. 1 61. 240. 149. 149 


源 地 址 :192. 168. 10. 10 


源 地 址 : 192. 168. 10. 10 
目标 地 址 : 61. 240. 149. 149 





目标 地 址 : 61. 240. 149. 149 
一 一 
HTTP 请 求 


源 地 址 : 61. 240. 149. 149 
目标 地 址 : 192. 168. 10. 10 
































图 8-6 没有 使 用 SNAT 技术 的 网 络 








使 用 iptables 命令 实现 SNAT 技术 是 一 件 很 麻烦 的 事情 ， 但 是 在 firewall-config 中 却 
是 小 菜 一 碟 了 。 用 户 只 需 按 照 图 8-8 进行 配置 ， 并 选中 Masquerade zone 复 选 框 ， 就 自动 
开启 了 SNAT 技术 。 

为 了 让 大 家 直观 查看 不 同 工 具 在 实现 相同 功能 的 区 别 , 这 里 使 用 firewall-config 工具 重新 
演示 了 前 面 使 用 firewalld-cmd 来 配置 防火 墙 策略 规则 ,将 本 机 888 端口 的 流量 转发 到 22 端口 ， 
且 要 求 当 前 和 长 期 均 有 效 ， 具 体 如 图 8-9 和 图 8-10 所 示 。 











166 





8.3 firewalld 





网 关 服 务 器 名 
局 域 网 PC 机 外 网 : 111. 196. 211. 212 互联 网 中 的 网 站 服务 器 


192. 168. 10. 10 61. 240. 149. 149 
内 网 : 192. 168. 10. 1 


源 地 址 :192. 168. 10. 10 源 地 址 : 111. 196. 211. 212 
目标 地 址 : 61. 240. 149. 149 et 目标 地 址 : 61. 240. 149. 149 
一 -一 


司 HTTP 请 求 


源 地 址 : 61. 240. 149. 149 
目标 地 址 : 192. 168. 10. 10 














图 8-7 使 用 SNAT 技术 处 理 过 的 网 络 





Firewall Configuration El 


File Options View Help 


Configuration: | Permanent Y | 






































A firewalld zone defines the Level of trust for network connections, interfaces and source addresses bound to the zone. The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules, The zone can be 
bound to interfaces and source addresses. 
Zz 本 1 
ne 《|services | Ports| Masquerading [Port Forwarding LEMP Filter ，Rich Rules LInterfaces > 
block Er 
d Masquerading allows you to set up a host or router that connects your local network to the 
mz 
internet, Your local network will not be visible and the hosts appear as a single address on the 
drop internet. Masquerading is IPv4 only. 
exterfal Masquerade zone 
h 
en If you enable masquerading, IP forwarding will be enabled for your IPv4 networks. 
internal 
trusted 
work 
二 国 = 国 
Connected. Default Zone: public Lockdown: disabled Panic Mode: disabled 





图 8-8 开启 防火 墙 的 SNAT 技术 


Port Forwarding 


Please select the source and destination options 
according to your needs. 


Source 


Protocol: | tcp_Y | 
Port / Port Range: 888 


Destination 


If you enable local forwarding, you have to specifya 
port, This port has to be different to the source port. 


Local forwarding 
口 Forward to another port | 转发 至 其 他 主机 


IP address: | 











图 8-9 配置 本 地 的 端口 转发 
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| 
Services| Ports | Masquerading | Port Forwarding ICMP Filter Rich Rules Interfaces > 


Add additional ports or port ranges, which need to be accessible for all hosts or networks that can 


File | Options | View Help 
Con 人 有 SU 
[BR Change Zones of Connections. 
o 
Change Default Zone 
Afir 
zont Panic Mode 
boul 
Lockdown 
Zone 《 
block 
dmz 
connect to the machine 
drop 
Port 
external 
8080-8088 tcp 
home 
internal 
trusted 
work 
EE. Add 
Connected. 


Firewall Configuration 


> 


k connections, interfaces and source addresses bound to the zone. The 
ng, port/packet forwarding, icmp filters and rich rules. The zone can be 


Protocol 





Default Zone: public Lockdown: disabled Panic Mode: disabled 








图 8-10 





让 防火 墙 效 策 略 规则 立即 生效 


配置 宣 规 则 ， 让 192.168.10.20 主机 访问 到 本 机 的 1234 端口 号 ， 如 图 8-11 所 示 。 





File Options View Hel 


| | 
Zones |Services 
A firewalld zone defines th Family: 


zone combines services, pd 


bound to interfaces and sol Elemsnt: 
Zone 





block $ Action: 
drop Er 
Source: 

external 

home Destination': 

internal 日 

trusted Log: 

i 
Audit: 
(ergy 

Connected. 





Configuration: Please enter a rich rule. 


Firewall Configuration 
Rich Rule 
For host or network white or blacklisting deactivate the element. 

ipv4 pund to the zone. The 
ules. The zone can be 

port Y 1234/tcp 图 
[一 一 

accept ™ h Rules |Interfaces > 

With Limit: 
192.168.10.20/24 右 下 inverted 
192.168.10.10/24 到 inverted 
Cancel OK 
_Defautt Zone: public Lockdown: disabled Panic Mode: disabled 











图 8-11 


配置 防火 墙 富 规则 策略 


如 果 生 产 环境 中 的 服务 顺 有 多 块 网 卡 在 同时 提供 服务 ( 这 种 情况 很 常见 ), 则 对 内 网 和 对 


外 网 提供 服务 的 网 卡 要 选择 的 防火 墙 

















策略 区 域 也 是 不 一 样 的 。 也 就 是 说 ， 可 以 把 网 卡 与 防火 


墙 策略 区 域 进行 绑 定 ( 见 图 8-12 ), 这 样 就 可 以 使 用 不 同 的 防火 墙 区 域 策略 ,对 源 自 不 同 网 卡 


2 
1 


的 流量 进行 针对 性 的 监 





最 后 ， 刘 六 老师 想 说 的 是 ，firewall-config 工具 真 的 非常 实用 ,很 多 原本 复杂 的 长 命令 


-一 一 


HH ~ 


用 图 形 化 按钮 蔡 代 ， 设 置 规则 也 简单 明了 ， 足 以 应 对 日 常 工作 。 所 以 再 次 向 大 家 强调 配置 防 





火 墙 策略 的 原则 一 一 只 
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要 能 实现 所 需 的 功能 ， 用 什么 工具 请 随 君 便 。 


8.4 ”服务 的 访问 控制 列表 








Connected. Changes applied. 


Firewall Configuration 


File Options View Help 


Configuration: Runtime ~ 


Zones |Services 


A firewalld zone defines the level of trust for network connections, interfaces and source addresses bound to the zone. The 


zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 
bound to interfaces and source addresses 


Zone 


天 
《 services| Ports Masquerading，Port Forwarding' ICMP Filter ，Rich Rules |) Interfaces > 
block 
d Add entries to bind interfaces to the zone. If the interface will be used by a connection, the zone 
I will be set to the zone specified in the connection. 
drop 
Interface Comment 
external 
eno16777728 Used by network connection ‘eno16777728" 
ome 
internal 
trusted 
Work 


Add Edit 


Default Zone: public Lockdown: disabled Panic Mode: disabled 








图 8-12 ”把 网 卡 与 防火 墙 策略 区 域 进 行 绑 定 





| 8.4 ”服务 的 访问 控制 列表 

















TCP Wrappers 是 RHEL 7 系统 中 默认 启用 的 一 款 流量 监控 程序 , 它 能 够 根据 来 访 主 机 的 地 址 
与 本 机 的 目标 服务 程序 作出 允许 或 拒绝 的 操作 。 换 名 话说 ，Linux 系统 中 其 实 有 两 个 层面 的 防火 


























墙 ， 第 一 种 是 前 面 讲 到 的 基于 TCP/P 协议 的 流量 过 滤 工 具 ， 而 TCP Wrappers 服务 则 是 能 允许 或 





禁止 Linux 系统 提供 服务 的 防火 墙 ， 从 而 在 更 高 层面 保护 了 Linux 系统 的 安全 运行 。 

TCP Wrappers 服务 的 防火 墙 策略 由 两 个 控制 列表 文件 所 控制 ,用 户 可 以 编辑 允许 控制 列表 文 
件 来 放行 对 服务 的 请 求 流量 ， 也 可 以 编辑 拒绝 控制 列表 文件 来 阻止 对 服务 的 请 求 流量 。 控 制 列 表 
文件 修改 后 会 立即 生效 ， 系 统 将 会 先 检查 允许 控制 列表 文件 ( /etc/hosts.allow )， 如 果 匹 配 到 相应 
的 允许 策略 则 放行 流量 ; 如 果 没 有 匹配 , 则 去 进一步 匹配 拒绝 控制 列表 文件 ( /etc/hosts.deny ), 若 
找到 匹配 项 则 拒绝 该 流量 。 如 果 这 两 个 文件 全 都 没有 匹配 到 ， 则 默认 放行 流量 。 

TCP Wrappers 服务 的 控制 列表 文件 配置 起 来 并 不 复杂 ， 常 用 的 参数 如 表 8-4 所 示 。 



























































表 8-4 TCP Wrappers 服务 的 控制 列表 文件 中 常用 的 参数 
客户 端 类 型 示例 满足 示例 的 客户 端 列表 

单一 主机 192.168.10.10 IP 地 址 为 192.168.10.10 的 主机 

指定 网 段 192.168.10. 卫 段 为 192.168.10.0/24 的 主机 

指定 网 段 192.168.10.0/255.255.255.0 | IP 段 为 192.168.10.0/24 的 主机 

指定 DNS 后 级 .1inuxprobe.com 所 有 DNS 后 级 为 .linuxprobe.com 的 主机 
指定 主机 名 称 www .1inuxprobe.com 主机 名 称 为 www.linuxprobe.com 的 主机 
指定 所 有 客户 端 | ALL 所 有 主机 全 部 包括 在 内 














在 配置 TCP Wrappers 服务 时 需要 遵循 两 个 原则 ; 
> 编写 拒绝 策略 规则 时 ， 填 写 的 是 服务 名 称 ， 而 非 协 议 名 称 ; 
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iptables 与 firewalld 防火 墙 


> 


建议 先 编写 拒绝 策略 规则 ， 再 编写 允许 策略 规则 ， 以 便 直观 地 看 到 相应 的 效果 。 






































下 面 编 写 拒绝 策略 规则 文件 , 禁止 访问 本 机 sshd 服务 的 所 有 流量 (无须 /etc/hosts.deny 文 
件 中 修改 原 有 的 注释 信息 ): 





root@linuxprobe ~]# vim /etc/hosts.deny 


hosts.deny This file contains access rules which are used to 
deny connections to network services that either use 

the tcp wrappers library or that have been 

started through a tcp wrappers-enabled xinetd. 


The rules in this file can also be set up in 
/etc/hosts.allow with a 'deny' option instead. 


See 'man 5 hosts options' and "man 5 hosts access' 
for information on rule syntax. 


See 'man tcpd' for information on tcp wrappers 


sshd:* 


root@linuxprobe ~]# ssh 192.168.10.10 
ssh exchange identification: read: Connection reset by peer 

















接 下 来 ， 在 允许 策略 规则 文件 中 添加 一 条 规则 ， 使 其 放行 源 自 192.168.10.0/24 网 段 ， 访 








问 本 机 sshd 服务 的 所 有 流量 。 可 以 看 到 ， 服 务 器 立刻 就 放行 了 访问 sshd 服务 的 流量 ,效果 非 
常 直 观 : 
root@linuxprobe ~]# vim /etc/hosts.allow 


和 
Th 








hosts.allow This file contains access rules which are used to 
allow or deny connections to network services that 

either use the tcp wrappers library or that have been 

started through a tcp wrappers-enabled xinetd. 


See 'man 5 hosts options' and "man 5 hosts access' 
for information on rule syntax. 


See 'man tcpd' for information on tcp wrappers 


sshd:192.168.10. 


oot@linuxprobe ~]# ssh 192.168.10.10 
e authenticity of host '192.168.10.10 (192.168.10.10)' can't be established. 


ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c. 


Ar 
Wa 
?位 
La 


e you sure you want to continue connecting (yes/no)? yes 

rning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts. 
ot@192.168.10.10's password: 

st login: Wed May 4 07:56:29 2017 


[root@linuxprobe ~]# 





| 复习 题 





1. 在 RHEL7 系统 中 ，iptables 是 否 已 经 被 firewalld 服务 彻底 取代 ? 


答 : 
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没有 ，iptables 和 firewalld 服务 均 可 用 于 RHEL7 系统 。 


局 了 








. 请 简 述 防火 墙 策略 规则 中 DROP 和 REJECT 的 不 同 之 处 。 
答 : DROP 的 动作 是 丢 包 ， 不 响应 ; REJECT 是 拒绝 请 求 ， 同 时 向 发 送 方 回 送 拒绝 信息 。 











.如何 把 iptables 服务 的 INPUT 规则 链 默 认 策 略 设置 为 DROP? 
答 : 执行 命令 iptables -PINPUT DROP 即 可 。 





.怎样 编写 一 条 防火 墙 策略 规则 ， 使 得 iptables 服务 可 以 禁止 源 自 192.168.10.0/24 网 段 的 流 
量 访问 本 机 的 sshd 服务 (22 端口) ? 
答 : 执行 命令 iptables -IINPUT -s 192.168.10.0/24 -p tcp --dport 22 -j REJECT 即 可 。 


























青 简 述 firewalld 中 区 域 的 作用 。 
答 : 可 以 依据 不 同 的 工作 场景 来 调用 不 同 的 firewalld 区 域 , 实现 大 量 防火 墙 策 略 规则 的 快 
速 切换 。 

















.如 何在 firewalld 中 把 默认 的 区 域 设 置 为 dmz? 


答 : 执行 命令 firewall-cmd --set-default-zone=dmz 即 可 。 





.如 何 让 firewalld 中 以 永久 (Permanent ) 模式 配置 的 防火 墙 策略 规则 立即 生效 ? 


答 : 执行 命令 firewall-cmd --reload。 











. 使 用 SNAT 技术 的 目的 是 什么 ? 
答 : SNAT 是 一 种 为 了 解决 卫 地 址 匮乏 而 设计 的 技术 , 它 可 以 使 得 多 个 内 网 中 的 用 户 通过 
同一 个 外 网 全 接 入 Internet ( 互联 网 )。 














. TCP Wrappers 服务 分 别 有 人 允许 策略 配置 文件 和 拒绝 策略 配置 文件 ， 请 问 匹 配 顺序 是 
怎么 样 的 ? 
答 : TCP Wrappers 会 先 依次 匹配 允许 策略 配置 文件 ， 然 后 再 依次 匹配 拒绝 策略 配置 文件 ， 
如 果 都 没有 匹配 到 ， 则 默认 放行 流量 。 
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第 9 章 | 


使 用 ssh 服务 管理 远程 主机 


本 章 讲解 了 如 下 内 容 : 
> 配置 网 络 服务 ; 
> ”远程 控制 服务 ; 
> 不 间断 会 话 服务 。 

















本 章 讲解 了 如 何 使 用 nmtui 命令 配置 网 络 参数 ,以 及 通过 nmcli 命令 查看 网 络 信息 并 管理 
网 络 会 话 服务 ， 从 而 让 您 能 够 在 不 同 工 作 场景 中 快速 地 切换 网 络 运行 参数 ; 还 讲解 了 如 何 手 
工 绑 定 mode6 模式 双 网 卡 ， 实 现 网 络 的 负载 均衡 。。 

本 章 还 深入 介绍 了 SSH 协议 与 sshd 服务 程序 的 理论 知识 、Linux 系统 的 远程 管理 方 
法 以 及 在 系统 中 配置 服务 程序 的 方法 ， 并 采用 实验 的 形式 演示 了 使 用 基于 密码 验证 的 
sshd 服务 程序 进行 远程 登录 ， 以 及 使 用 screen 服务 程序 远程 管理 Linux 系统 的 不 间断 会 
话 等 技术 。 

当 读 者 掌握 了 本 章 的 内 容 之 后 ， 也 就 完全 具备 了 对 Linux 系统 进行 配置 管理 的 知识 。 而 
且 后 续 章 节 中 将 陆续 引入 大 量 实用 服务 的 配置 内 容 ， 读 者 将 用 到 本 章 学 习 的 知识 进行 配置 ， 
这 样 一 方面 可 以 让 读者 对 生产 环境 中 用 到 的 大 多 数 热门 服务 程序 有 一 个 广泛 且 深 入 的 认识 ， 
另 一 方面 也 可 以 掌握 相应 的 配置 方法 。 

































































| 9.1 ”配置 网 络 服务 





9.1.1 配置 网 络 参 数 


截至 目前 ,大 家 已 经 完全 可 以 利用 当前 所 学 的 知识 来 管理 Linux 系统 了 。 当 然 ， 大 家 
的 水 平 完 全 可 以 更 进一步 , 当 有 朝 一 日 登 顶 技术 匮 峰 时 ,您 一 定 会 感谢 现在 正在 努力 学 习 
的 您 。 

我 们 接 下 来 将 学 习 如 何在 Linux 系统 上 配置 服务 。 但 是 在 此 之 前 ， 必 须 先 保证 主机 之 间 
能 够 顺畅 地 通信 。 如 果 网 络 不 通 ， 即 便服 务 部 署 得 再 正确 用 户 也 无 法 顺利 访问 ， 所 以 ， 配 置 
网 络 并 确保 网 络 的 连通 性 是 学 习 部 署 Linux 服务 之 前 的 最 后 一 个 重要 知识 点 。 

在 4.1.3 小 节 讲 解 了 如 何 使 用 Vim 文本 编辑 器 来 配置 网 络 参 数 , 其 实 , 在 RHEL7 系统 中 
有 至 少 5 种 网 络 的 配置 方法 ， 刘 递 老 师 尽 量 在 本 书 中 为 大 家 逐一 演示 。 这 里 教 给 大 家 的 是 使 














































































































9.1 配置 网 络 服务 


用 nmtui 命令 来 配置 网 络 , 其 具体 的 配置 步骤 如 图 9-1 至 图 9-8 所 示 。 当 遇 到 不 容易 理解 的 内 
容 时 ， 我 们 会 额外 进行 解释 说 明 。 





root@linuxprobe:~/Desktop es OD | Xx 


File Edit View Search Terminal Help 
[root@linuxprobe Desktop]# nmtui 


























并 


图 9-1 执行 nmtui 命令 运行 网 络 配 置 工 





root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 


NetworkManager TUI 


Please select an option 


Activate a connection 
Set system hostname 


Quit 





图 9-2 选中 Edit a connection 并 按 下 回 车 键 


在 RHEL5、RHEL 6 系统 及 其 他 大 多 数 早 期 的 Linux 系统 中 , 网 卡 的 名 称 一 直 都 是 eth0、 
ethl 、eth2、……: ， 但 在 RHEL 7 中 则 变 成 了 类 似 于 eno16777736 这 样 的 名 字 。 不 过 除了 网 卡 
的 名 称 发 生变 化 之 外 ， 其 他 几乎 一 切 照 上 日 ， 因 此 这 里 演示 的 网 络 配置 实验 完全 可 以 适用 于 各 


种 版 本 的 Linux 系统 。 
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root@linuxprobe:~/Desktop ~- | 口 
File Edit View Search Terminal Help 


Etherne 


<Delete> 


<Quit> 








图 9-3 ”选中 要 编辑 的 网 卡 名 称 ， 然 后 按 下 Edit ( 编辑 ) 按钮 











root@linuxprobe:~/Desktop ~- | 日 
File Edit View Search Terminal Help 
Edit connection 


Profile name 
Device 


= ETHERNET <Show> 


= IPv4 CONFIGURATION SENNELS <Show> 
= IPv6 CONFIGURATION <Automatic> <Show> 


[ ] Automatically connect 


[X] Available to all users 


<Cancel> <0K> 








图 9-4 把 网 络 IPv4 的 配置 方式 改 成 Manual ( 手动 ) 





再 多 提 一 句 ， 我们 的 这 本 《Linux 就 该 这 么 学 》 不 仅 学 习 门 槛 低 、 简 单 易 懂 ， 而 且 
还 有 一 个 潜在 的 优势 一 一 书 中 所 有 的 服务 器 主机 IP 地 址 均 为 192.168.10.10， 而 客户 端 
主机 均 为 192.168.10.20 及 192.168.10.30。 这 样 的 好 处 就 是 ， 在 后 面部 团 Linux 服务 的 
时 候 ， 不 用 每 次 都 要 考虑 卫 地 址 变化 的 问题 ， 从 而 可 以 心 无 旁 苑 地 关注 配置 细节 。 
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9.1 配置 网 络 服务 





root@linuxprobe:~/Desktop -_| 口 
File Edit View Search Terminal Help 
Edit connection 


Profile name By 
Device 巩 


ETHERNET <Show> 


IPv4 CONFIGURATION <Manual> <Show: 
IPv6 CONFIGURATION <Automatic> <Show> 


] Automatically connect 
[X] Available to all users 


<Cancel> <0K> 





9-5 按 下 Show (显示 ) 按钮 ， 显 示 信 息 配置 
现在 ， 在 服务 器 主机 的 网 络 配置 信息 中 填写 IP 地 址 192.168.10.10/24。 


Iml 








root@linuxprobe:~/Desktop - | 口 
File Edit View Search Terminal Help 
Edit connection 


Profile name El 
Device 咀 


= ETHERNET <Show> 


IPv4 CONFIGURATION <Hide> 
Addresses Ee: <Remove> 


Gateway 
DNS servers 
Search domains 


Routing (No custom routes) <Edit...> 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 











图 9-6 填写 IP 地址 


至 此 ， 在 Linux 系统 中 配置 网 络 的 步骤 就 结束 了 。 

刘 雍 老师 在 培训 时 经 常会 发 现 ， 很 多 学 员 在 安装 RHEL 7 系统 时 默认 没有 激活 网 卡 。 如 
果 各 位 读者 有 同样 的 情况 也 不 用 担心 ， 只 需 使 用 Vim 编辑 器 将 网 卡 配置 文件 中 的 ONBOOT 
参数 修改 成 yes， 这 样 在 系统 重启 后 网 卡 就 被 激活 了 。 
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root@linuxprobe:~/Desktop -IO 


File Edit View Search Terminal Help 


Edit connection 


Addresses 苔 972 <Remove> 
<Add . 
Gateway [和 
DNS servers <Add . . .> 
Search domains <Add . . .> 


Routing (No custom routes) <Edit . . .> 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 


= IPv6 CONFIGURATION <Automatic> 


[ ] Automatically connect 
[X] Available to all users 


<Cancel> 








图 9-7 单 击 OK 按钮 保存 配置 





root@linuxprobe:~/Desktop -| 器 
File Edit View Search Terminal Help 


Ethernet <Add> 
- Ed 


<Delete> 








图 9-8 单 击 Quit 按钮 退出 





root@linuxprobe ~]# vim /etc/sysconfig/network-scripts/ifcfg-enol16777736 
TYPE=Ethernet 

BOOTPROTO=none 

DEFROUTE=yes 

IPV4 FAILURE FATAL=nNo 

IPV6INIT=yes 

IPV6 AUTOCONF=yes 

IPV6 DEFROUTE=yes 

IPV6 FAILURE FATAL=nNo 

NAME=eno16777736 
UUID=ec77579b-2ced-481f-9c09-f562b321e268 
ONBOOT=yes 

IPADDRO=192.168.10.10 
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HWADDR=00:0C:29:C4:A4:09 
PREFIXO0=24 

IPV6 PEERDNS=yes 

IPV6 PEERROUTES=yes 


9.1 配置 网 络 服务 























当 修改 完 Linux 系统 中 的 服务 配置 文件 后 ， 并 不 会 对 服务 程序 立即 产生 效果 。 要 想 让 服 
务 程序 获取 到 最 新 的 配置 文件 ， 需 要 手动 重启 相应 的 服务 ， 之 后 就 可 以 看 到 网 络 畅通 了 : 

















[root@linuxprobe ~]# Systemct1 restart network 
[root@linuxprobe ~]# ping -c 4 192.168.10.10 


PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 

64 bytes from 192.168.10.10: icmp seq=1 ttl1=64 time=0.056 ms 
64 bytes from 192.168.10.10: icmp seq=2 ttl1l=64 time=0.099 ms 
64 bytes from 192.168.10.10: icmp seq=3 ttl1=64 time=0.095 ms 
64 bytes from 192.168.10.10: icmp seq=4 ttl1=64 time=0.095 ms 


二 92368100 Piling statistics = 


4 packets transmitted, 4 received, 0% packet loss, time 2999ms 


rtt min/avg/max/mdev = 0.056/0.086/0.099/0.018 ms 





9.1.2 ”创建 网 络 会 话 








RHEL 和 CentOS 系统 默认 使 用 NetworkManager 来 提供 网 络 服务 ， 这 是 一 种 动态 管理 网 





络 配置 的 守护 进程 ， 能 够 让 网 络 设备 保持 连接 状态 。 可 以 使 























用 nmcli 命令 来 管理 Network 





Manager 服务 。nmcli 是 一 款 基 于 命令 行 的 网 络 配置 工具 ， 功 能 丰富 ， 参 数 众 多 。 它 可 以 轻松 


地 查看 网 络 信息 或 网 络 状态 : 





[root@linuxprobe ~]# nmcli connection show 
NAME UUID TYPE DEVICE 


eno16777736 ec77579b-2ced-481f-9c09-f562b321e268 802-3-ethernet eno16777736 


[root@linuxprobe ~]# nmcli con show eno16777736 
connection.id: eno16777736 


connection.uuid: ec77579b-2ced-481f-9c09-£f562b321e268 


connection.interface-name: 一 一 
connection.type: 802-3-ethernet 
connection.autoconnect: yes 
connection.timestamp: 1487348994 
connection.read-only: no 
connection.permissions: 
connection.zone: -一 
connection.master: 一 一 
connection.slave-type: -- 
connection.secondaries: 


connection.gateway-ping-timeout: 0 


ee 省 略 部 分 输出 信息 .………… 














另外 ,RHEL7 系统 支持 网 络 会 话 功能 ， 人 允许 用 户 在 多 个 配置 文件 中 快速 切换 ( 非常 类 似 
于 firewalld 防火 墙 服务 中 的 区 域 技术 ), 如 果 我 们 在 公司 网 络 中 使 用 笔记 本 电脑 时 需要 手动 指 











定 网 络 的 IP 地址， 而 回 到 家 中 则 是 使 用 DHCP 自动 分 配 IP 二 


也 址 。 这 就 需要 麻烦 地 频繁 修改 























IP 地 址 ， 但 是 使 用 了 网 络 会 话 功能 后 一 切 就 简单 多 了 一 一 只 需 在 不 同 的 使 用 环境 中 激活 相应 











的 网 络 会 话 ， 就 可 以 实现 网 络 配置 信息 的 自动 切换 了 。 
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可 以 使 用 nmcli 命令 并 按照 “connection add con-name type ifname” 的 格式 来 创建 网 络 会 
话 。 假 设 将 公司 网 络 中 的 网 络 会 话 称 之 为 company， 将 家 庭 网 络 中 的 网 络 会 话 称 之 为 house， 
现在 依次 创建 各 自 的 网 络 会 话 。 
使 用 con-name 参数 指定 公司 所 使 用 的 网 络 会 话 名 称 company， 然 后 依次 用 ifname 参 
数 指定 本 机 的 网 卡 名 称 〈 千 万 要 以 实际 环境 为 准 ， 不 要 照抄 书 上 的 eno16777736 )， 用 
autoconnect no 参数 设置 该 网 络 会 话 默认 不 被 自动 激活 ， 以 及 用 ip4 及 gw4 参数 手动 指定 
网 络 的 卫 地址: 























[root@linuxprobe ~]# nmcli connection add con-name company ifname eno16777736 
autoconnect no type ethernet ip4 192.168.10.10/24 gw4 192.168.10.1 
Connection "company' (86c71220-0057-419e-b615-38f4014cfqee) successfully added. 











使 用 con-name 参数 指定 家 庭 所 使 用 的 网 络 会 话 名 称 house。 因 为 我 们 想 从 外 部 DHCP 服 
务 器 自动 获得 卫 地 址 ， 因 此 这 里 不 需要 进行 手动 指定 。 














[root@linuxprobe ~]# nmcli connection add con-name house type ethernet ifname 
eno16777736 
Connection "house' (44acf0a7-07e2-40b4-94ba-69ea973090fb) successfully added. 








在 成 功 创建 网 络 会 话 后 ， 可 以 使 用 nmcli 命令 查看 创建 的 所 有 网 络 会 话 : 





[root@linuxprobe ~]# nmcli connection show 

NAME UUID TYPE DEVICE 

house 44acf0a7-07e2-40b4-94ba-69ea973090fb 802-3-ethernet 一 一 

company 86c71220-0057-419e-b615-38f4014cfdee 802-3-ethernet -- 
eno16777736 ec77579b-2ced-481f-9c09-£f562b321e268 802-3-ethernet eno16777736 


使 用 nmcli 命 令 配置 过 的 网 络 会 话 是 永久 生效 的 ,这 样 当 我 们 下 班 回 家 后 ,顺手 启用 house 
网 络 会 话 ， 网 卡 就 能 自动 通过 DHCP 获取 到 IP 地 址 了 。 














[root@linuxprobe ~]# nmcli connection up house 

Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ 
ActiveConnection/2) 

[root@linuxprobe ~]# ifconfig 

eno1677773628: flags=4163<UP,BROADCAST, RUNNING,MULTICAST> mtu 1500 
inet 192.168.100.128 netmask 255.255.255.0 broadcast 192.168.100.255 
inet6 fe80::20c:29ff:fec4:a409 prefixlen 64 scopeid 0x20<link> 

ether 00:0c:29:c4:a4:09 txqueuelen 1000 (Ethernet) 

RX packets 42 bytes 4198 (4.0 KiB) 

RX errors 0 dropped 0 overruns 0 frame 0 

TX packets 75 bytes 10441 (10.1 KiB) 


TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 


lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 

inet 127.0.0.1 netmask 255.0.0.0 

inet6 ::1 prefixlen 128 scopeid 0xl0<host> 

loop txqueuelen 0 (Local Loopback) 

RX packets 518 bytes 44080 (43.0 KiB) 

RX errors 0 dropped 0 overruns 0 frame 0 

TX packets 518 bytes 44080 (43.0 KiB) 
0 


Tx errors 0 dropped 0 overruns carrier 0 collisions 0 




















如 果 大 家 使 用 的 是 虚拟 机 ， 请 把 虚拟 机 系统 的 网 卡 〈 网 络 适 配器 ) 切换 成 桥接 模式 ， 如 
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图 9-9 所 示 。 然 后 重启 虚拟 机 系统 即 可 。 
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图 9-9 设置 虚拟 机 网 卡 的 模式 


绑 定 两 块 网 卡 





一 般 来 计 ， 生 产 环境 必须 提供 7 x 24 小 时 的 网 络 传输 服务 。 借 助 于 网 卡 绑 定 技术 ， 不 仅 
可 以 提高 网 络 传输 速度 ， 更 重要 的 是 ， 还 可 以 确保 在 其 中 一 块 网 卡 出 现 故障 时 ， 依 然 可 以 正 
常 提供 网 络 服务 。 假 设 我 们 对 两 块 网 卡 实施 了 绑 定 技术 ， 这 样 在 正常 工作 中 它们 会 共同 传输 
数据 ， 使 得 网 络 传输 的 速度 变 得 更 快 ;而 且 即 使 有 一 块 网 卡 突然 出 现 了 故障 ， 另 外 一 块 网 卡 


便 会 立即 自动 项 奉 上 去 ， 保 证 数据 传输 不 会 中 断 。 





下 面 我 们 来 看 一 下 如 何 绑 定 网 卡 。 
第 1 步 : 在 虚拟 机 系统 中 再 添加 一 块 网 卡 设备 ， 请 确保 两 块 网 卡 都 处 在 同一 个 网 络 连接 
中 ( 即 网 卡 模式 相同 )， 如 图 9-10 和 图 9-11 所 示 。 处 于 模式 的 网 卡 设 备 才 可 以 进行 网 卡 绑 定 ， 
否则 这 两 块 网 卡 无 法 互相 传送 数据 。 
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图 9-10 在 虚拟 机 中 再 添加 一 块 网 卡 设备 
“ 宙 本 人身 导 “i 莉 训 | 
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图 9-11 确保 两 块 网 卡 处 在 同一 个 网 络 连接 中 ( 即 网 卡 模式 相同 ) 

第 2 步 : 使 用 Vim 文本 编辑 器 来 配置 网 卡 设备 的 绑 定 参数 。 网 卡 绑 定 的 理论 知识 类 似 于 
前 面 学 习 的 RAID 硬盘 组 我们 需要 对 参与 绑 定 的 网 卡 设备 逐个 进行 “初始 设置 *。 需 要 注意 
的 是 ， 这 些 原本 独立 的 网 卡 设备 此 时 需要 被 配置 成 为 一 块 “从属 ”网 卡 ， 服 务 于 “ 主 ” 网 卡 ， 
不 应 该 再 有 自己 的 也 地 址 等 信息 。 在 进行 了 初始 设置 之 后 ， 它 们 就 可 以 支持 网 卡 绑 定 。 

















[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736 


TYPE=Ethernet 
BOOTPROTO=none 
ONBOOT=yes 
USERCTL=no 
DEVICE=eno16777736 
MASTER=bond0 
SLAVE=yes 


[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno33554968 


TYPE=Ethernet 
BOOTPROTO=none 
ONBOOT=yes 
USERCTL=no 
DEVICE=eno33554968 
MASTER=bond0 
SLAVE=yes 
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还 需要 将 绑 定 后 的 设备 命名 为 bond0 并 把 P 地 址 等 信息 填写 进去 , 这 样 当 用 户 访 问 相 应 
服务 的 时 候 ， 实 际 上 就 是 由 这 两 块 网 卡 设备 在 共同 提供 服务 。 

[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts/ifcfg-bond0 

TYPE=Ethernet 

BOOTPROTO=none 

ONBOOT=yes 

USERCTL=no 

DEVICE=bond0 

IPADDR=192.168.10.10 

PREFIX=24 

DNS=192.168.10.1 

NM CONTROLLED=nNo 


第 3 步 :让 Linux 内 核 支持 网 卡 绑 定 驱动 。 常 见 的 网 卡 绑 定 驱动 有 三 种 模式 
和 mode6。 下 面 以 绑 定 两 块 网 卡 为 例 ， 讲 解 使 用 的 情景 。 
> mode0 (平衡 负载 模式 ): 平时 两 块 网 卡 均 工 作 , 且 自动 备 援 , 但 需要 在 与 服务 器 本 地 
网 卡 相连 的 交换 机 设备 上 进行 端口 聚合 来 支持 绑 定 技术 。 
> model( 自动 备 援 模式 ): 平时 只 有 一 块 网 卡 工作 , 在 它 故 障 后 自动 替换 为 另外 的 网 卡 。 
> mode6 (平衡 负载 模式 ): 平时 两 块 网 卡 均 工 作 , 且 自动 备 援 , 无 须 交 换 机 设备 提供 辅 
助 支持 。 
比如 有 一 台 用 于 提供 NFS 或 者 samba 服务 的 文件 服务 器 , 它 所 能 提供 的 最 大 网 络 传输 速度 
为 100Mbits, 但 是 访问 该 服务 器 的 用 户 数量 特别 多 , 那么 它 的 访问 压力 一 定 很 大 。 在 生产 环境 
中 ， 网 络 的 可 靠 性 是 极为 重要 的 ， 而 且 网 络 的 传输 速度 也 必须 得 以 保证 。 针 对 这 样 的 情况 ， 比 
较 好 的 选择 就 是 mode6 网 卡 绑 定 驱动 模式 了 。 因 为 mode6 能 够 让 两 块 网 卡 同时 一 起 工作 , 当 其 
中 一 块 网 卡 出 现 故 障 后 能 自动 备 援 , 且 无 需 交 换 机 设备 支援 , 从 而 提供 了 可 靠 的 网 络 传输 保障 。 
下 面 使 用 Vim 文本 编辑 器 创建 一 个 用 于 网 卡 绑 定 的 驱动 文件 ,使 得 绑 定 后 的 bond0 网 卡 
设备 能 够 支持 绑 定 技术 (bonding ); 同时 定义 网 卡 以 mode6 模式 进行 绑 定 ， 且 出 现 故障 时 自 
动 切换 的 时 间 为 100 上 毫秒。 


[root@linuxprobe ~]# vim /etc/modprobe.d/bond.conf 




















mode0 .model 






















































































alias bond0 bonding 
options bond0 miimon=100 mode=6 


第 4 步 : 重启 网 络 服务 后 网 卡 绑 定 操 作 即 可 成 功 。 正 常情 况 下 只 有 bond0 网 卡 设备 才 会 
有 卫 地 址 等 信息 : 











[root@linuxprobe ~]# Systemct1 restart network 

[root@linuxprobe ~]# ifconfig 

bond0: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST> mtu 1500 
inet 192.168.10.10 netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80::20c:29ff:fe9c:637Qq prefixlen 64 scopeid 0x20<link> 
ether 00:0c:29:9c:63:7d txqueuelen 0 (Ethernet) 

RX packets 700 bytes 82899 (80.9 KiB) 

RX errors 0 dropped 6 overruns 0 frame 0 

TX packets 588 bytes 40260 (39.3 KiB) 

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 


eno16777736: flags=6211<UP,BROADCAST,RUNNING, SLAVE,MULTICAST> mtu 1500 
ether 00:0c:29:9c:63:73 txqueuelen 1000 (Ethernet) 
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RX Packets 347 bytes 40112 (39.1 KiB) 

RX errors 0 dropped 6 overruns 0 frame 0 

TX packets 263 bytes 20682 (20.1 KiB) 

Tx errors 0 dropped 0 overruns 0 carrier 0 collisions 0 


eno33554968: flags=6211<UP, BROADCAST,RUNNING, SLAVE, MULTICAST> mtu 1500 
ether 00:0c:29:9c:63:7d txqueuelen 1000 (Ethernet) 


RX packets 353 bytes 42787 (41.7 KiB) 


RX errors 0 dropped 0 overruns 0 frame 0 


TX packets 325 bytes 19578 (19.1 KiB) 


TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 























可 以 在 本 地 主机 执行 ping 192.168.10.10 命令 检查 网 络 的 连通 性 。 为 了 检验 网 卡 绑 定 技术 
的 自动 备 援 功能 ， 我 们 突然 在 虚拟 机 硬件 配置 中 随机 移 除 一 块 网 卡 设备 ， 可 以 非常 清晰 地 看 








到 网 卡 切换 的 过 程 (一 般 只 有 1 个 数据 丢 包 )。 





然后 男 外 一 块 网 卡 会 继续 为 用 户 提 供 服 务 。 





[root@linuxprobe ~]# ping 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 


64 bytes from 192.168.10.10: icmp seq=1 ttl1=64 time=0.109 ms 
64 bytes from 192.168.10.10: icmp seq=2 tt1lL=64 time=0.102 ms 
64 bytes from 192.168.10.10: icmp seq=3 ttl1=64 time=0.066 ms 


Ping: sendmsg: Network is unreachable 


64 bytes from 192.168.10.10: icmp seq=5 ttl1=64 time=0.065 ms 


64 bytes from 192.168.10.10: icmp seq= 


6 ttl=64 time=0.048 ms 


64 bytes from 192.168.10.10: icmp seq=7 ttl1=64 time=0.042 ms 





64 bytes from 192.168.10.10: icmp_ seq= 


A 
-= 192.168.10; 10. ping statistics 一 一 














8 ttl=64 time=0.079 ms 


8 packets transmitted, 7 received, 12% packet loss, time 7006ms 
rtt min/avg/max/mdev = 0.042/0.073/0.109/0.023 ms 





| 9.2 ”远程 控制 服务 





9.2.1 配置 sshd 服务 





SSH ( Secure Shell ) 是 一 种 能 够 以 安全 的 方式 提供 远程 登录 的 协议 ， 也 是 目前 远程 管 
Linux 系统 的 首选 方式 。 在 此 之 前 ， 一 般 使 用 FTP 或 Telnet 来 进行 远程 登录 。 但 是 因为 | 











以 明文 的 形式 在 网 络 中 传输 账户 密码 和 数据 信 ， 

















筷 ， 因 此 很 不 安全 ， 很 容易 受到 黑客 发 起 的 中 











间 人 攻击 ， 这 轻 则 算 改 传输 的 数据 信息 ， 重 则 直接 抓 取 服 务 器 的 账户 密码 。 
想 要 使 用 SSH 协议 来 远程 管理 Linux 系统 , 则 需要 部 署 配 置 sshd 服务 程序 ,sshd 是 基于 SSH 
协议 开发 的 一 款 远 程 管理 服务 程序 , 不 仅 使 用 起 来 方便 快捷 , 而 且 能 够 提供 两 种 安全 验证 的 方法 : 
> 基于 口令 的 验证 一 一 用 账户 和 密码 来 验证 登录 ; 
> 基于 密 钥 的 验证 一 一 需要 在 本 地 生成 密 钥 对 ， 然 后 把 密 钥 对 中 的 公 钥 上 传 至 服务 器 
































并 与 服务 需 中 的 公 钥 进行 比较 ; 该 方式 相 较 来 说 更 安全 。 
前 文 曾 多 次 强调 “Linux 系统 中 的 一 切 都 是 文件 ， 因 此 在 Linux 系统 中 修改 服务 程序 的 运行 
参数 , 实际 上 就 是 在 修改 程序 配置 文件 的 过 程 。sshd 服务 的 配置 信息 保存 在 /etc/ssh/sshd_config 文 
件 中 。 运 维 人 员 一 般 会 把 保存 着 最 主要 配置 信息 的 文件 称 为 主 配 置 文件 ， 而 配置 文件 中 有 许多 以 
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井 号 开头 的 注释 行 ， 要 想 让 这 些 配置 参数 生效 ， 需 要 在 修改 参数 后 再 去 掉 前 面 的 井 号 。sshd 服务 
配置 文件 中 包含 的 重要 参数 如 表 9-1 所 示 。 























































































































表 9-1 sshd 服务 配置 文件 中 包含 的 参数 以 及 作用 
参数 作用 

Port 22 默认 的 sshd 服务 端口 
ListenAddress 0.0.0.0 设 定 sshd 服务 器 监听 的 卫 地址 
Protocol 2 SSH 协议 的 版 本 号 
HostKey /etc/ssh/ssh host key SSH 协议 版 本 为 1 时 ，DES 私 钥 存放 的 位 置 
HostKey /etc/ssh/ssh host rsa key SSH 协议 版 本 为 2 时 ，RSA 私 钥 存 放 的 位 置 
HostKey /etc/ssh/ssh host dsa key SSH 协议 版 本 为 2 时 ，DSA 私 钥 存放 的 位 置 
PermitRootLogin yes 设 定 是 否 允 许 root 管理 员 直 接 登 录 
StrictModes yes 当 远 程 用 户 的 私 钥 改变 时 直接 拒绝 连接 
MaxAuthTries 6 最 大 密码 尝试 次 数 
MaxSessions 10 最 大 终端 数 
PasswordAuthentication yes 是 否 允 许 密 码 验证 
PermitEmptyPasswords no 是 否 允许 空 密码 登录 ( 很 不 安全 ) 














在 RHEL 7 系统 中 ， 已 经 默认 安装 并 启用 了 sshd 服务 程序 。 接 下 来 使 用 ssh 命令 进行 远 
旦 连接 ， 其 格式 为 “ssh [参数 ] 主机 IP 地 址 ”。 要 退出 登录 则 执行 exit 命令 。 














[root@linuxprobe ~]# ssh 192.168.10.20 

The authenticity of host '192.168.10.20 (192.168.10.20)' can't be established. 
ECDSA key fingerprint is 4f:a7:91:9e:8dq:6f:b9:48:02:32:61:95:48:edq:le:3f. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '192.168.10.20' (ECDSA) to the list of known hosts. 
rootQ@192.168.10.20's password: 此 处 输入 远程 主机 root 管理 员 的 密码 

Last login: Wed Apr 15 15:54:21 2017 from 192.168.10.10 


[root@linuxprobe ~]# 
[root@linuxprobe ~]# exit 
logout 


Connection to 192.168.10.10 closed. 























如 果 禁 止 以 root 管理 员 的 身份 远程 登录 到 服务 器 ， 则 可 以 大 大 降低 被 黑客 暴力 破解 密码 
的 几率 。 下面 进行 相应 配置 。 首 先 使 用 Vim 文本 编辑 器 打开 sshd 服务 的 主 配置 文件 ， 然 后 把 
第 48 行 #PermitRootLogin yes 参数 前 的 井 号 (# ) 去 掉 ， 并 把 参数 值 yes 改 成 ho， 这样 就 不 再 
允许 root 管理 员 远 程 登录 了 。 记 得 最 后 保存 文件 并 退出 。 




















[root@linuxprobe ~]# vim /etc/ssh/sshd config 


es 省 略 部 分 输出 信息 








47 #LoginGraceTime 2m 
48 PermitRootLogin no 
49 #StrictModes yes 
50 #MaxAuthTries 6 
51 #MaxSessions 10 





ee 省 略 部 分 输出 信息 
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再 次 提醒 的 是 ， 一 般 的 服务 程序 并 不 会 在 配置 文件 修改 之 后 立即 获得 最 新 的 参数 。 如 果 
想 让 新 配置 文件 生效 ， 则 需要 手动 重启 相应 的 服务 程序 。 最 好 也 将 这 个 服务 程序 加 入 到 开机 
启动 项 中 ， 这 样 系统 在 下 一 次 启动 时 ， 该 服务 程序 便 会 自动 运行 ， 继 续 为 用 户 提供 服务 。 














[root@linuxprobe ~]# Systemct1 restart sshd 
[root@linuxprobe ~]# systemctl1 enable sshd 





这 样 一 来 , 当 root 管理 员 再 来 尝试 访问 sshd 服务 程序 时 ,系统 会 提示 不 可 访问 的 错误 信息 。 
虽然 sshd 服务 程序 的 参数 相对 比较 简单 ， 但 这 就 是 在 Linux 系统 中 配置 服务 程序 的 正确 方法 。 
大 家 要 做 的 是 举一反三 、 活 学 活用 ， 这 样 即便 以 后 遇 到 了 陌生 的 服务 ， 也 一 样 可 以 搞定 了 。 




















[root@linuxprobe ~]# ssh 192.168.10.10 
root@192.168.10.10's password: 此 处 输入 远程 主机 root 管理 员 的 密码 
Permission denied, please try again. 





9.2.2 ”安全 密 钥 验证 


加 密 是 对 信息 进行 编码 和 解码 的 技术 ， 它 通过 一 定 的 算法 〈 密 钥 ) 将 原本 可 以 直接 阅读 
的 明文 信息 转换 成 密 文 形式 。 密 钥 即 是 密 文 的 钥匙 ， 有 私 钥 和 公 钥 之 分 。 在 传输 数据 时 ， 如 
果 担 心 被 他 人 监听 或 截获 ， 就 可 以 在 传输 前 先 使 用 公 钥 对 数据 加 密 处 理 ， 然 后 再 行 传 送 。 这 
样 ， 只 有 掌握 私 钥 的 用 户 才能 解密 这 段 数据 ， 除 此 之 外 的 其 他 人 即便 截获 了 数据 ， 一 般 也 很 
难 将 其 破译 为 明文 信息 。 

一 言 以 项 之 ， 在 生产 环境 中 使 用 密码 进行 口令 验证 终归 存在 着 被 暴力 破解 或 嗅 探 截获 的 
风险 。 如 果 正 确 配置 了 密 钥 验证 方式 ， 那 么 sshd 服务 程序 将 更 加 安全 。 我 们 下 面 进行 具体 的 
配置 ， 其 步 又 如 下 。 

第 1 步 : 在 客户 端 主机 中 生成 “ 密 钥 对 ”。 















































[root@linuxprobe ~]# ssh-keygen 

Generating public/private rsa key pair. 

Enter file in which to save the key (/root/.ssh/id_rsa) : 按 回 车 键 或 设置 密 钥 的 存储 路 径 
Created directory '/root/.ssh'. 

Enter passphrase (empty for no passphrase) : 直接 按 回 车 键 或 设置 密 钥 的 密码 

Enter same passphrase again: 再 次 按 回 车 键 或 设置 密 钥 的 密码 

Your identification has been saved in /root/.ssh/id rsa. 

Your public key has been saved in /root/.ssh/id rsa.pub. 








The key fingerprint is: 
40:32:48:18:e4:ac:c0:c3:cl:ba:7c:6c:3a:a8:b5:22 root@linuxprobe.com 
The key's randomart image is: 
十 一 一 -RS 2204 和] 一 = 一 一 让 
Go 
证 
O* 
十 
Go S 
十 
E+ 
+.o 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
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9.2 ”远程 控制 服务 


第 2 步 : 把 客户 端 主机 中 生成 的 公 钥 文 件 传送 至 远程 主机 





[root@linuxprobe ~]# ssh-copy-id 192.168.10.10 

The authenticity of host '192.168.10.20 (192.168.10.10)' can't be established. 
ECDSA key fingerprint is 4f:a7:91:9e:8dq:6f:b9:48:02:32:61:95:48:edq:le:3f. 

Are you sure you want to continue connecting (yes/no)? yes 


/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter 


out any that are already installed 


/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are 


prompted now it is to install the new keys 
root@192.168.10.10's password: 此 处 输入 远程 服务 器 密码 
added: 1 


Number of key(S) 
Now try Logging into the machine, with: "ssh !192.168.10.10'7" 
and check to make sure that only the key(s) you wanted were added. 








第 3 步 : 对 服务 器 进行 设置 ， 使 其 只 允许 密 钥 验 证 ， 拒 绝 传 统 的 口令 验证 方式 。 记 得 在 
修改 配置 文件 后 保存 并 重启 sshd 服务 程序 。 

















D 位 
DI 三 


root@linuxprobe ~]# vim /etc/ssh/sshd config 


ed 省 略 部 分 输 





WN i 


75 # To disable tunneled clear text passwords, change to no here! 


76 #PasswordAuthentication yes 


77 #PermitEmptyPasswords no 


78 PasswordAuthentication no 


ed 省 略 部 分 输 





bt 信 ) 





nsdn snidets 


[root@linuxprobe ~]# Systemct1 restart sshd 





第 4 步 : 在 客户 端 尝试 登录 到 服务 器 ， 此 时 无 须 输 入 密码 也 可 成 功 登 录 。 





[root@linuxprobe ~]# ssh 192.168.10.10 


Last login: 


Mon Apr 13 19:34:13 2017 





9.2.3 








远程 传输 命令 


scp ( secure copy ) 是 一 个 基于 SSH 协议 在 网 络 之 间 进 行 安全 传输 的 命令 ,其 格式 为 “scp 
[参数 ] 本 地 文件 远程 帐户 @ 远 程 IP 地 址 :远程 目录 ”。 

与 第 2 章 讲解 的 cp 命令 不 同 ，cp 命令 只 能 在 本 地 硬盘 中 进行 文件 复制 ， 而 scp 不 
仅 能 够 通过 网 络 传送 数据 ， 而 且 所 有 的 数据 都 将 进行 加 密 处 理 。 例 如 ， 如 果 想 把 一 些 文 
件 通过 网 络 从 一 台 主 机 传递 到 其 他 主机 , 这 两 台 主 机 又 恰巧 是 Linux 系统 , 这 时 使 用 scp 
命令 就 可 以 轻松 完成 文件 的 传递 了 。scp 命令 中 可 用 的 参数 以 及 作用 如 表 9-2 所 示 。 
















































































表 9-2 scp 命令 中 可 用 的 参数 及 作用 
参数 作用 
-Vv 显示 详细 的 连接 进度 
=B 指定 远程 主机 的 sshd 端口 号 
一 上 ] 于 传送 文件 夹 
-6 使 用 IPv6 协议 
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使 用 ssh 服务 管理 远程 主机 


在 使 用 scp 命令 把 文件 从 本 地 复制 到 远程 主机 时 ， 首 先 需 要 以 绝对 路 径 的 形式 写 清 本 地 
文件 的 存放 位 置 。 如 果 要 传送 整个 文件 夹 内 的 所 有 数据 ， 还 需要 额外 添加 参数 -r 进行 递归 操 
作 。 然 后 写 上 要 传送 到 的 远程 主机 的 IP 地 址 ， 远 程 服 务 咒 便 会 要 求 进行 身份 验证 了 。 当 前 用 
户 名 称 为 root， 而 密码 则 为 远程 服务 器 的 密码 。 如 果 想 使 用 指定 用 户 的 身份 进行 验证 ， 可 使 
用 用 户 名 @ 主 机 地 址 的 参数 格式 。 最 后 需要 在 远程 主机 的 人 P 地 址 后 面 添 加 冒号 ， 并 在 后 面 写 
上 要 传送 到 远程 主机 的 哪个 文件 夹 中 。 只 要 参数 正确 并 且 成 功 验 证 了 用 户 身份 ， 即 可 开始 传 
送 工作 。 由 于 scp 命令 是 基于 SSH 协议 进行 文件 传送 的 ， 而 9.2.2 小 节 又 设置 好 了 密 钥 验 证 ， 
因此 当前 在 传输 文件 时 ， 并 不 需要 账户 和 密码 。 






































[root@linuxprobe ~]# echo "Welcome to LinuxProbe.Com" > readme.txt 
[root@linuxprobe ~]# scp /root/readme.txt 192.168.10.20:/home 
rootQ@192.168.10.20's password: 此 处 输入 远程 服务 器 中 root 管理 员 的 密码 
readme.txt 100% 26 0.0KB/s 00:00 





此 外 , 还 可 以 使 用 scp 命令 把 远程 主机 上 的 文件 下 载 到 本 地 主机 , 其 命令 格式 为 “scp [ 参 
数 ] 远程 用 户 @ 远 程 IP 地 址 :远程 文件 本 地 目录 ”。 例 如 ,可 以 把 远程 主机 的 系统 版 本 信息 文 
件 下 载 过 来 ， 这 样 就 无 须 先 登录 远程 主机 ， 再 进行 文件 传送 了 ， 也 就 省 去 了 很 多 周折 。 

















[root@linuxprobe ~]# scp 192.168.10.20:/etc/redhat-release /root 
root@192.168.10.20's password: 此 处 输入 远程 服务 器 中 root 管理 员 的 密码 
reqhat-release 100% 52 0.1KB/s 00:00 

[root@linuxprobe ~]# cat redhat-release 

Red Hat Enterprise Linux Server release 7.0 (Maipo) 





| 9.3 不 间断 会 话 服务 





大 家 在 学 习 sshd 服务 时 ,不知 有 没有 注意 到 这 样 一 个 事情 : 当 与 远程 主机 的 会 话 被 关闭 
时 ， 在 远程 主机 上 运行 的 命令 也 随 之 被 中 断 。 
如 果 我 们 正在 使 用 命令 来 打包 文件 ， 或 者 正在 使 用 脚本 安装 某 个 服务 程序 ， 中 途 是 绝对 
不 能 关闭 在 本 地 打开 的 终端 窗口 或 断 开 网 络 链接 的 ， 甚 至 是 网 速 的 波动 都 有 可 能 导致 任务 中 
断 ， 此 时 只 能 重新 进行 远程 链接 并 重新 开始 任务 。 还 有 些 时 候 , 我 们 正在 执行 文件 打包 操作 ， 
同时 又 想 用 脚本 来 安装 某 个 服务 程序 , 这 时 会 因为 打包 操作 的 输出 信息 占 满 用 户 的 屏幕 界面 ， 
而 只 能 再 打开 一 个 执行 远程 会 话 的 终端 窗口 ， 时 间 久 了 ， 难 免 会 忘记 这 些 打 开 的 终端 窗口 是 
做 什么 用 的 了 。 
screen 是 一 款 能 够 实现 多 窗口 远程 控制 的 开源 服务 程序 ， 简 单 来 说 就 是 为 了 解决 网 络 异 
常 中 断 或 为 了 同时 控制 多 个 远程 终端 窗口 而 设计 的 程序 。 用 户 还 可 以 使 用 screen 服务 程序 同 
时 在 多 个 远程 会 话 中 自由 切换 ， 能 够 做 到 实现 如 下 功能 。 
> 会 话 恢 复 : 即便 网 络 中 断 ， 也 可 让 会 话 随时 恢复 ， 确 保 用 户 不 会 失去 对 远程 会 话 
的 控制 。 
> 多 窗口 : 每 个 会 话 都 是 独立 运行 的 ， 拥 有 各 自 独立 的 输入 输出 终端 窗口 ， 终 端 窗 口内 显示 
过 的 信息 也 将 被 分 开 隔离 保存 ， 以 便 下 次 使 用 时 依然 能 看 到 之 前 的 操作 记录 。 
> 会 话 共享 : 当 多 个 用 户 同时 登录 到 远程 服务 器 时 , 便 可 以 使 用 会 话 共享 功能 让 用 户 之 
间 的 输入 输出 信息 共享 。 
在 RHEL7 系统 中 ， 没 有 默认 安装 screen 服务 程序 ， 因 此 需要 配置 Yum 仓库 来 安装 它 。 
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9.3 不 间断 会 话 服务 


首先 将 虚拟 机 的 CD/DVD 光盘 选项 设置 为 “使 用 ISO 镜像 文件 ”， 并 选择 已 经 下 载 好 的 系统 
镜像 ， 如 图 9-12 所 示 。 






























设备 摘要 设 和 态 
村 内 存 2 GB 已 连接 (C) 
同 处 理 器 8 加 启动 时 连接 (O) 
连接 
使 用 物理 驱动 器 (P): 
USB 控制 器 存在 es 
忆 显 示 器 自动 检测 动 检 
@ 使 用 I50 映像 文件 (M): 
G:\ISO images\RHEL-server- v 
LE ] 
EFT 








[确定 |][ 取消 |[ 地 助 | 


图 9-12 ”将 虚拟 机 的 光盘 设备 指向 ISO 镜像 
然后 ， 把 光盘 设备 中 的 系统 镜像 挂 载 到 /media/cdrom 目录 。 


[root@linuxprobe ~]# mkdir -p /media/cdrom 
[root@linuxprobe ~]# mount /dev/cdrom /media/cdrom 
mount: /dev/sr0 is write-protected, mounting read-only 


最 后 , 使 用 Vim 文本 编辑 器 创建 Yum 仓库 的 配置 文件 。 下 述 命令 中 用 到 的 具体 参数 的 含 
义 ， 可 参考 4.1.4 小 节 。 





























[root@linuxprobe ~]# vim /etc/yum.repos.d/rhel7.repo 
[rhel17] 

name=rhel7 

baseurl=file:///media/cdrom 

enabled=1 

gpgcheck=0 


现在 ,就 可 以 使 用 Yam 仓库 来 安装 screen 服务 程序 了 。 简捷 起 见 , 刘 递 老师 将 对 后 面 章 
节 中 出 现 的 Yum 软件 安装 信息 进行 过 滤 一 一 把 重复 性 高 及 无 意义 的 非 必要 信息 省 略 。 














[root@linuxprobe ~]# yum install screen 

Loaded plugins: langpacks, product-id, subscription-manager 

This system is not registered to Red Hat Subscription Management. You can use 
subscription-manager to register. 

rhel | 4.1 kB 00:00 

Resolving Dependencies 
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使 用 ssh 服务 管理 远程 主机 


--> Running transaction check 


---> Package screen.x86 64 0:4.1.0-0.19.20120314git3c2946.el7 will be installed 


--> Finished Dependency Resolution 
Dependencies Resolved 








Package Arch Version Repository 
Size 








Installing: 


Screen x86 64 4.1.0-0.19.20120314git3c2946.el7 rhel 551 k 
Transaction Summary 








Install 1 Package 

Total download size: 551 k 
Installed size: 914 k 

Is this ok [y/d/N]: y 
Downloading packages: 





Running transaction check 

Running transaction test 

Transaction test succeeded 
Running transaction 

Installing : Screen-4.1.0-0.19.20120314git3c2946.e17.x86 64 1/1 
Verifying : screen-4.1.0-0.19.20120314git3c2946.e1l7.x86 64 1/1 
Installed: 


screen.x86 64 0:4.1.0-0.19.20120314git3c2946.el7 
Complete! 





9.3.1 ”管理 远程 会 话 


有 的 会 话 ; 以 及 用 -wipe 参数 把 目前 无 法 使 用 的 会 话 删除 ， 等 等 


下 面 创建 一 个 名 称 为 backup 的 会 话 窗口 。 请 各 位 读者 留心 观察 ， 当 在 命令 行 中 敲 下 这 条 





screen 命令 能 做 的 事情 非常 多 : 可 以 用 -S 参数 创建 会 话 窗口 ; 用 -d 参数 将 指定 会 话 进行 
离线 处 理 ; 用 -r 参数 回复 指定 会 话 ; 用 -x 参数 一 次 性 恢复 所 有 的 会 话 ; 用 -ls 参数 显示 当前 已 











O 





命令 的 一 瞬间 ， 屏 幕 会 快速 内 动 一 下 ， 这 时 就 已 经 进入 screen 服务 会 话 中 了 ， 在 里 面 运行 的 
任何 操作 都 会 被 后 台 记 录 下 来 。 








root@linuxprobe ~]# screen -S backup 
root@linuxprobe ~]# 











当前 多 se 


执行 命令 后 会 立即 返回 一 个 提示 符 。 虽 然 看 起 来 与 刚才 没有 不 同 ， 但 实际 上 可 以 查看 到 





root@linuxprobe ~]# screen -ls 
There is a screen on: 
32230.backup (Attached) 


Socket in /var/run/screen/S-root. 








要 想 退 出 一 个 会 话 也 十 分 简单 ， 只 需 在 命令 行 中 执行 exit 命令 即 可 。 





[root@linuxprobe ~]# exit 


[screen is terminating] 
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9.3 不 间断 会 话 服务 


























在 日 常 的 生产 环境 中 ， 其 实 并 不 是 必须 先 创建 会 话 ， 然 后 再 开始 工作 。 可 以 直接 使 用 
screen 全 命令 执行 要 运行 的 命令 ， 这 这 样 在 命令 中 的 一 切 操 作 也 都 会 被 记录 下 来 ， 当 命 令 执 行 丁 结 
束 后 screen 会 话 也 会 自动 结 


[root@linuxprobe ~]# screen vim memo.txt 








welcome to linuxprobe.com 


为 了 演示 screen 不 间断 会 话 服务 的 强大 之 处 , 我 们 先 来 创建 一 个 名 为 linux 的 会 话 , 然后 
强行 把 窗口 关闭 掉 ( 这 与 进行 远程 连接 时 突然 断 网 具有 相同 的 效果 ): 


[root@linuxprobe ~]# Screen -S linux 


























[root@linuxprobe ~]# 

[root@linuxprobe ~]# tail -f /var/log/messages 

Feb 20 11:20:01 localhost systemd: Starting Session 2 of user root. 
Feb 20 11:20:01 localhost systemd: Started Session 2 of user root. 


Feb 20 11:21:19 localhost dbus-daemon: dbus[1124]: [system] Activating service 

name='com.redhat .SubscriptionManager' (using servicehelper) 

Feb 20 11:21:19 localhost dbus[1124]: [system] Activating service name='com. 
redhat .SubscriptionManager' (using servicehelper) 

Feb 20 11:21:19 localhost dbus-daemon: dbus[1124]: [system] Successfully activated 
service "com.redqhat .SubscriptionManager 

Feb 20 11:21:19 localhost dbus[1124]: [system] Successfully activateq service 'com. 


redhat .SubscriptionManager 

Feb 20 11:30:01 localhost systemd: Starting Session 3 of user root. 

Feb 20 11:30:01 localhost systemd: Started Session 3 of user root. 

Feb 20 11:30:43 localhost systemd: Starting Cleanup of Temporary Directories... 
Feb 20 11:30:43 localhost systemd: Started Cleanup of Temporary Directories. 


由 于 刚才 关闭 了 会 话 窗口 ， 这 样 的 操作 在 传统 的 远程 控制 中 一 定 会 导致 正在 运行 的 命令 
a. 但 在 screen 不 间断 会 话 服务 中 则 不 会 这 样 。 我 们 只 需 查看 一 下 刚刚 离线 的 会 话 
名 称 ， 然 后 尝试 恢复 回来 就 可 以 继续 工作 了 : 


[root@linuxprobe ~]# screen -ls 














There is a screen on: 
13469.linux (Detached) 
1 Socket in /var/run/screen/S-root. 
[root@linuxprobe ~]# Screen -r linux 
[root@linuxprobe ~]# 
[root@linuxprobe ~]# tail -f /var/log/messages 
Feb 20 11:20:01 localhost systemd: Starting Session 2 of user root. 
Feb 20 11:20:01 localhost systemd: Started Session 2 of user root. 


Feb 20 11:21:19 localhost dbus-daemon: dbus[1124]: [system] Activating service 
name='com.redhat .SubscriptionManager' (using servicehelper) 

Feb 20 11:21:19 localhost dbus[1124]: [system] Activating service name='com. 
redhat .SubscriptionManager' (using servicehelper) 

Feb 20 11:21:19 localhost dbus-daemon: dbus[1124]: [system] Successfully 
activated service "com.redqhat .SubscriptionManager 

Feb 20 11:21:19 localhost dbus[1124]: [system] Successfully activated service 


'com.redhat .SubscriptionManager"' 

Feb 20 11:30:01 localhost systemd: Starting Session 3 of user root. 

Feb 20 11:30:01 localhost systemd: Started Session 3 of user root. 

Feb 20 11:30:43 localhost systemd: Starting Cleanup of Temporary Directories... 
Feb 20 11:30:43 localhost systemd: Started Cleanup of Temporary Directories. 
Feb 20 11:40:01 localhost systemd: Starting Session 4 of user root. 

Feb 20 11:40:01 localhost systemd: Started Session 4 of user root. 
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使 用 ssh 服务 管理 远程 主机 








如 果 我 们 突然 又 想到 了 还 有 其 他 事情 需要 处 理 ， 也 可 以 多 创建 几 个 会 话 窗口 放 在 一 起 使 


用 。 如 果 这 段 时 间 内 不 再 使 用 某 个 会 话 窗 口 ， 可 以 把 它 设 置 为 临时 断 开 ( detach ) 模式 ， 随 后 














在 需要 时 再 重新 连接 ( attach ) 回来 即 可 。 这 段 时 间 内 , 在 会 话 窗 口内 运行 的 程序 会 继续 执行 。 


9.3.2 ”会话 共享 功能 


screen 命令 不 仅 可 以 确保 用 户 在 极端 情况 下 也 不 丢失 对 系统 的 远程 控制 ， 保 证 了 生产 环 
境 中 远程 工作 的 不 间断 性 ， 而 且 它 还 具有 会 话 共 享 、 分 屏 切 割 、 会 话 锁 定 等 实用 的 功能 。 其 
中 ， 会 话 共享 功能 是 一 件 很 酷 的 事情 ， 当 多 个 用 户 同时 控制 主机 的 时 候 ， 它 可 以 把 屏幕 内 容 















































共享 出 来 ， 也 就 是 说 每 个 用 户 都 可 以 看 到 相同 的 内 容 。 
screen 的 会 话 共享 功能 的 流程 拓扑 如 图 9-13 所 示 。 


YY 第 1 步 : 创建 会 话 
screen -S linuxprobe 


第 2 步 : 同步 终端 信息 


SCreen -X 









RHEL 7 系统 





图 9-13 ”会话 共享 功能 的 流程 拓扑 


要 实现 会 话 共享 功能 ， 首 先 使 用 ssd 服务 程序 将 终端 A 远程 连接 到 服务 器 ， 








会 话 窗口 。 





并 创建 一 个 








[root@client A ~]# ssh 192.168.10.10 


The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established. 
ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c. 


Are you sure you want to continue connecting (yes/no)? yes 


Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts. 


rootQ@192.168.10.10's password: 此 处 输入 root 管理 员 密 码 
Last login: Wed May 4 07:56:29 2017 

[root@client A ~]# screen -S linuxprobe 
[root@client A ~]# 








然后 ， 使 用 ssh 服务 程序 将 终端 B 远程 连接 到 服务 器 ， 并 执行 获取 远程 会 话 的 命令 。 接 





下 来 ， 两 台 主 机 就 能 看 到 相同 的 内 容 了 。 








[root@client B ~]# ssh 192.168.10.10 


The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established. 
ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c. 


Are you sure you want to continue connecting (yes/no)? yes 


Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts. 


rootQ@192.168.10.10's password: 此 处 输入 root 管理 员 密 码 
Last login: Wed Feb 22 04:55:38 2017 from 192.168.10.10 
[root@client B ~]# screen -x 

[root@client B ~] 
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| 复习 题 





一 


i 


. 在 Linux 系统 中 有 多 种 方法 可 以 配置 网 络 参数 ， 请 列举 几 种 。 
答 : 配置 网 卡 参 数 可 以 使 用 nmtui 命令 、nmcli 命令 或 者 直接 编辑 网 卡 配 置 文件 来 实现 对 
网 卡 参数 的 修改 。 


























. 在 RHEL7 系统 中 使 用 网 卡 会 话 技术 的 目的 是 什么 ? 
答 : 使 用 nmcli 命令 来 管理 网 卡 会 话 的 目的 是 为 了 快速 切换 网 卡 参数 ， 以 便 适 应 不 同 的 工 
作 场 景 。 











青 简 述 网 卡 绑 定 技术 mode6 模式 的 特点 。 
答 : 平时 两 块 网 卡 均 工 作 ， 且 自动 备 援 ， 无 须 交 换 机 设备 提供 辅助 支持 。 





























Linux 系统 中 ,， 当 通过 修改 其 配置 文件 中 的 参数 来 配置 服务 程序 时 ,， 若 想 要 让 新 配置 的 
参数 生效 ， 还 需要 执行 什么 操作 ? 
答 : 需要 重新 启动 相关 的 服务 程序 ， 或 让 服务 程序 重新 加 载 配置 文件 ， 或 重启 系统 。 





3 寺 


\ 








.sshd 服务 的 口令 验证 与 密 钥 验证 方式 ， 哪 个 更 安全 ? 
答 : 一 般 情 况 下 ， 密 钥 验 证 方式 更 加 安全 。 若 用 户 若 认证 有 更 高 的 安全 需求 ,还 可 以 再 对 
密 钥 文件 进行 口令 加 密 ， 从 而 实现 双重 加 密 。 

















， 想 要 把 本 地 文件 /root/out.txt 传送 到 地 址 为 192.168.10.20 的 远程 主机 的 /home 目录 下 , 且 本 
地 主机 与 远程 主机 均 为 Linux 系统 ， 最 为 简便 的 传送 方式 是 什么 ? 

答 : 执行 命令 scp /root/out.txt root@ 192.168.10.20:/home， 并 在 进行 口令 验证 后 即 可 开 
始 传送 。 





青 简 述 配置 Yum 仓库 的 步骤 。 

答 : 首先 应 该 创建 挂 载 目录 并 把 光盘 镜像 文件 与 其 关联 ， 然 后 修改 Yom 的 配置 文件 ， 填 
写 人 相关 参数 ， 尤 其 需要 注意 挂 载 目录 的 存放 路 径 要 正确 无 误 ， 最 后 便 可 使 用 Yum 命令 
来 安装 相关 的 服务 程序 了 
































screen 服务 程序 能 够 让 用 户 实现 远程 控制 的 不 间断 会 话 服 务 ， 即 便 网 络 发 生 中 断 也 不 
丢失 对 远程 主机 的 会 话 控制 。 那么 ， 当 想 要 恢复 到 一 个 名 为 linux 的 会 话 窗口 时 ,应 该 
怎么 做 呢 ? 

答 : 执行 命令 screen -r linux 即 可 恢复 到 这 个 会 话 窗口 中 。 
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ERLE 


使 用 Apache 服务 部 团 静 态 网 立 


本 章 讲解 了 如 下 内 容 : 


网 站 服务 程序 ; 
配置 服务 文件 参数 ; 
SELinux 安全 子 系统 ; 
个 人 用 户主 页 功能 ; 
虚拟 主机 功能 ; 
Apache 的 访问 控制 。 


AAA 














本 章 先 向 读者 科普 什么 是 Web 服务 程序 , 以 及 Web 服务 程序 的 用 处 , 然后 通过 对 比 当前 
主流 的 Web 服务 程序 来 使 读者 更 好 地 理解 其 各 自 的 优势 及 特点 ， 最 后 通过 对 httpd 服务 程序 
中 “全 局 配置 参数 ”、 “区 域 配 置 参数 ” 及 “注释 信息 ”的 理论 讲解 和 实战 部 署 ， 确 保 读者 学 
会 Web 服务 程序 的 配置 方法 ， 并 真正 掌握 在 Linux 系统 中 配置 服务 的 技巧 。 

刘 肖 老师 还 会 在 本 章 讲解 SELinux 服务 的 作用 、 三 种 工作 模式 以 及 策略 管理 方法 ， 确 
保 读者 掌握 SELinux 域 和 SELinux 安全 上 下 文 的 配置 方法 ， 并 依次 完成 多 个 基于 httpd 中 
务 程序 实用 功能 的 部 署 实验 ， 其 中 包括 httpd 服务 程序 的 基本 部 署 、 个 人 用 户主 页 功能 
口令 加 密 认 证 方式 的 实现 ， 以 及 分 别 基于 IP 地 址 、 主 机 名 ( 域名 )、 ee 
网 站 功能 。 

























































































| 10.1 ”网 站 服务 程序 








1970 年 ， 作 为 互联 网 前 身 的 ARPANET ( 阿 帕 网 ) 已 初 具 雏形 ， 并 开始 向 非 军用 部 门 开 
放 ， 许 多 大 学 和 商业 部 门 开 始 接 人 和 人。 虽然 彼 时 阿 帕 网 的 规模 ( 只 有 4 台 主 机 联网 运行 ) 还 不 
如 现在 的 局 域 网 成 熟 ， 但 是 它 依然 为 网 络 技术 的 进步 打下 了 扎实 的 基础 。 

想必 我 们 大 多 数 人 都 是 通过 访问 网 站 而 开始 接触 互联 网 的 吧 。 我 们 平时 访问 的 网 站 服务 
就 是 Web 网 络 服务 ,一 般 是 指 允 讨 | 如 图 10-1 
所 示 ，Web 网 络 服务 是 一 种 被 动 访问 的 服务 程序 ， 即 只 有 接收 到 互联 网 中 其 他 主机 发 出 的 请 
求 后 才 会 响应 ， 最 终 用 于 提供 服务 程序 的 Web ， HTTP ( 超 文本 传输 协议 ) 或 
HTTPS ( 安全 超 文本 传输 协议 ) 把 请 求 的 内 容 传送 给 用 户 。 

目前 能 够 提供 Web 网 络 服务 的 程序 有 IIS 、Nginx 和 Apache 等 。 其 中 ，IIS (Internet 
Information Services， 互 联网 信息 服务 ) 是 Windows 系统 中 默认 的 Web 服务 程序 ， 这 是 一 款 




























































































10.1 网 站 服务 程序 








图 形 化 的 网 站 管理 工具 ， 不 仅 可 以 提供 Web 网 站 服务 ， 还 可 以 提供 FTP、NMTP 、SMTP 等 
服务 。 但 是 ，IIS 只 能 在 Windows 系统 中 使 用 ， 而 我 们 这 本 书 的 名 字 是 《Linux 就 该 这 么 学 》 
所 以 它 也 就 不 在 我 们 的 学 习 范 围 之 内 了 。 


向 服务 器 发 出 Web 请 求 
a 


eg 
浏览 器 将 文档 传送 给 客户 浏览 器 


























网 站 服务 器 











图 10-1 主机 与 Web 服务 器 之 间 的 通信 














2004 年 10 月 4 日 ,为 俄罗斯 知名 门户 站 点 而 开发 的 Web 服务 程序 Nginx 横 空 出 世 。Nginx 
程序 作为 一 款 轻 量 级 的 网 站 服务 软件 ， 因 其 稳定 性 和 丰富 的 功能 而 快速 占领 服务 器 市 场 ， 但 
Nginx 最 被 认可 的 还 当 是 系统 资源 消耗 低 且 并 发 能 力 强 , 因此 得 到 了 国内 诸如 新 浪 、 网 易 、 腾 
讯 等 门户 站 的 青睐 。 本 书 将 在 第 20 章 讲 解 Nginx 服务 程序 。 

Apache 程序 是 Sb 占有 率 的 Web 服务 程序 之 一 ， 其 跨 平台 和 安全 性 广 
泛 被 认可 且 拥 有 快速 、 可 靠 、 简 单 的 API 扩展 。 图 10-2 所 示 为 Apache 服务 基金 会 的 著名 
Logo， 肿 安 人 的 土著 语 ， 寓 意 着 拥有 高 超 的 作战 策略 和 无 穷 的 耐性 。 
Apache 服务 程序 可 以 运行 在 Linux 系统 、UNIX 系统 甚至 是 Windows 系统 中 ， 支 持 基 于 
IP、 域 名 及 端口 号 的 虚拟 主机 功能 ,支持 多 种 认证 方式 ,集成 有 代理 服务 器 模块 、 安 全 
Socket 层 (SSL )， 能 够 实时 监视 服务 状态 与 定制 日 志 消 息 ， 并 有 着 各 类 丰富 的 模块 支持 。 


Apache 程序 是 在 RHEL5、6、7 系统 的 默认 Web 服务 程序 ， 其 相关 知识 点 一 直 也 
是 RHCSA 和 RHCE 认证 考试 的 重点 内 容 。 



























































seApache 
Ne Foundation 


Community-led development since 1999. 
图 10-2 ”Apache 软件 基金 会 著名 的 Logo 

















总 结 来 说 ，Nginx 服务 程序 作为 后 起 之 秀 ， 已 经 通过 自身 的 优势 与 努力 赢得 了 大 批 站 长 
的 信赖 ,本 书 配套 的 在 线 学 习 站 点 http://www.linuxprobe.com 就 是 基于 Nginx 服务 程序 部 署 的 ， 
不 得 不 说 Nginx 也 真 的 很 棒 ! 

但 是 ，Apache 程序 作为 老牌 的 Web 服务 程序 , 一 方面 在 Web 服务 器 软件 市 场 具 有 相当 高 的 
占有 率 , 男 一 方面 Apache 也 是 RHEL 7 系统 中 默认 的 Web 服务 程序 , 而 且 还 是 RHCSA 和 RHCE 
认证 考试 的 必 考 内 容 ， 因 此 无 论 从 实际 应 用 角度 还 是 从 应 对 红 帽 认 证 考试 的 角度 ， 我 们 都 有 必要 
好 好 学 习 Apache 服务 程序 的 部 署 ， 并 深入 挖掘 其 可 用 的 丰富 功能 。 

第 1 步 : 把 光盘 设备 中 的 系统 镜像 挂 载 到 /media/cdrom 目录 。 
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使 用 Apache 服务 部 署 静态 网 站 





[root@linuxprobe ~]# mkdir -p /media/cdrom 
[root@linuxprobe ~]# mount /dev/cdrom /media/cdrom 
mount: /dev/sr0 is write-protected, mounting read-only 











第 2 步 : 使 用 Vim 文本 编辑 器 创建 Yum 仓库 的 配置 文件 ， 下 述 命 令 中 具体 参数 的 含义 


可 参考 4.1.4 小 节 。 





[root@linuxprobe ~]# vim /etc/yum.repos.d/rhel7.repo 
[rhel17] 

name=rhel7 

baseurl=file:///media/cdrom 

enabled=1 

gpgcheck=0 








第 3 步 : 动手 安装 Apache 服务 程序 。 注 意 ,使 用 yum 命令 进行 安装 时 ， 跟 在 命令 后 面 的 


Apache 服务 的 软件 包 名 称 为 httpd。 如 果 直 接 执行 yum install apache 命令 ， 则 系统 会 报错 。 





[root@linuxprobe ~]# yum install httpd 
Loaded plugins: langpacks, product-id, subscription-manager 
es 省 略 部 分 输出 信息 .……………… 


Dependencies Resolved 














Package Arch Version Repository Size 








Installing: 

httpd x86 64 2.4.6-17.el7 rhel 1.2 M 
Installing for dependencies: 

apr x86 64 1.4.8-3.el7 rhel 103 k 
apr-util x86 64 1.5.2-6.el7 rhel 92 k 
httpd-tools x86 64 2.4.6-17.el7 rhel 77 k 
mailcap noarch 2.1.41-2.el7 rhel 31 k 


Transaction Summary 








Install 1 Package (+4 Dependent packages) 
Total download size: 1.5 M 

Installed size: 4.3 M 

Is this ok [y/d/N]: y 

Downloading packages: 


i 省 略 部 分 输出 信息 


Complete! 











第 4 步 : 启用 httpd 服务 程序 并 将 其 加 入 到 开机 启动 项 中 ， 使 其 能 够 随 系统 开机 而 运行 ， 


从 而 持续 为 用 户 提供 Web 服务 : 





[root@linuxprobe ~]# Systemct1 start httpd 

[root@linuxprobe ~]# systemctl1 enable httpd 

ln -s '/usr/lib/systemd/system/httpd.service' '/etc/systemd/system/multi-user. 
target .wants/httpd.service' 





大 家 在 浏览 器 (这 里 以 Firefox 浏览 器 为 例 ) 的 地 址 栏 中 输入 http:/127.0.0.1 并 按 回 车 键 ， 











就 可 以 看 到 用 于 提供 Web 服务 的 httpd 服务 程序 的 默认 页 面 了 ， 如 图 10-3 所 示 。 








[root@linuxprobe ~]# firefox 
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10.2 ”配置 服务 文件 参数 





BM Applications Places we Browser 9 RH Tuel423 Broot 
Test Page for the Apache HTTP Server on Red Hat Enterprise Linux - Mozilla Firefox 


File Edit View History Bookmarks Iools Help 





he Apache H... < Red Hat XX | 中 


127.0.0.1 日 Q 


Red Hat Enterprise Linux Test Page 


This page is used to test the proper operation of the Apache HTTP server arer has been installed. If you can read this page, it means that the Apache HTTP server 
installed at this ste is working properly 


If you are a member of the general public: If you are the website administrator: 







this page indicates that the websie you just 
cing problems. or is undergoing routine 





For example, | you experlenced problems while visiing www.example.com, 


you should send e-mail to webmaster@example,com’. 





Fol 





ormation on Red Hat ENterprise UnUX, Please Vist the Rad < 
slta. The documenrtaton for Red Hat Enterprise Unux 1S svallabls on hs 
Bed Hat. in. waehsite 











ort Buinurprobe.-/Desttop 型 Test Page for the Apache HTTP .. 114 © 
图 10-3 httpd 服务 程序 的 默认 页 面 

















| 10.2 ”配置 服务 文件 参 关 


























需要 提醒 大 家 的 是 ， 前 文 介绍 的 httpd 服务 程序 的 安装 和 运行 ， 仅 仅 是 httpd 服务 程序 的 
一 些 皮毛 ， 我 们 依然 有 很 长 的 道路 要 走 。 在 Linux 系统 中 配置 服务 ， 其 实 就 是 修改 服务 的 配 
置 文件 ， 因 此 ， 还 需要 知道 这 些 配置 文件 的 所 在 位 置 以 及 用 途 ，httpd 服务 程序 的 主要 配置 文 
件 及 存放 位 置 如 表 10-1 所 示 。 















































表 10-1 Linux 系统 中 的 配置 文件 
配置 文件 的 名 称 存放 位 置 
服务 目录 /etc/httpd 
主 配置 文件 /etc/httpd/conf/nttpd.conf 
网 站 数据 目录 /var/www/html 
访问 日 志 /var/log/httpd/access log 
错误 日 志 /var/log/hnttpd/error log 





大 家 在 首次 打开 httpd 服务 程序 的 主 配置 文件 , 可 能 会 吓 一 跳 一 一 竟然 有 353 行 ! 这 得 至 
少 需要 一 周 的 时 间 才 能 看 完 吧 ?! 但 是 , 大 家 只 要 仔细 观看 就 会 发 现 刘 道 老 师 在 这 里 调皮 了 。 
因为 在 这 个 配置 文件 中 ， 所 有 以 井 号 (#) 开始 的 行 都 是 注释 行 ， 其 目的 是 对 httpd 服务 程序 
的 功能 或 某 一 行 参数 进行 介绍 ， 我 们 不 需要 逐 行 研究 这 些 内 容 。 

在 httpd 服务 程序 的 主 配置 文件 中 , 存在 三 种 类 型 的 信息 : 注释 行 信息 、 全 局 配置 、 区 域 
配置 ， 如 图 10-4 所 示 。 
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配置 参数 的 








# This is the main Apache server configuration file 
ServerRoot“/etc/httpd” 


| [root@linuxprobe ~]# vim /etc/httpd/conf/httpd.conf 


全 局 配置 


ServerName www.linuxprobe.com 


注释 行 信息 








图 10-4 httpd 服务 程序 的 主 配置 文件 的 构成 


各 位 读者 在 学 习 第 4 章 时 已 经 接 














触 讨 注释 信息 ， 因 此 这 里 主要 








解 全 局 配置 参数 与 区 域 


























区 别 。 顾 名 思 义 ， 全 局 配置 参数 就 是 一 种 全 局 性 的 配置 参数 ， 可 作用 于 对 所 有 的 


子 站 点 ， 既 保证 了 子 站 点 的 正常 访问 ， 也 有 效 减少 了 频繁 写 人 重复 参数 的 工作 量 。 区 域 配置 











参数 则 是 单独 针对 于 每 个 独立 的 子 站 点 进行 设置 的 。 虽 
饭 的 阿姨 先 给 每 位 同学 来 一 碗 标准 大 小 的 日 饭 ( 























it 像 在 大 学 食 符 里 面 打 饭 ， 食 符 负 责 打 
全 局 配置 )， 然 后 再 根据 每 位 同学 的 具体 要 求 








盛 放 他 们 想 吃 的 菜 ( 区 域 配 置 )。 在 httpd 服务 程序 主 配置 文件 中 ， 最 为 常用 的 参数 如 表 10-2 

























































































所 示 。 
表 10-2 配置 httpd 服务 程序 时 最 常用 的 参数 以 及 用 途 描述 

证 

ServerRoot 服务 目录 

ServerAdmin 管理 员 邮 箱 

User 运行 服务 的 用 户 

Group 运行 服务 的 用 户 组 

ServerName 网 站 服务 器 的 域名 

DocumentRoot 网 站 数据 目录 

Directory 网 站 数据 目录 的 权限 

Listen 监听 的 下 地 址 与 端口 号 

DirectoryIndex 默认 的 索引 页 页 面 

ErrorLog 错误 日 志文 件 

CustomLog 访问 日 志文 件 

Timeout 网 页 超时 时 间 ， 默 认为 300 秒 





从 表 10-2 中 可 知 ，DocumentRoot 参数 用 于 定义 网 站 数据 的 保存 路 径 ， 其 参数 的 默认 值 








是 把 











网 站 数据 存放 到 /var/www/html 目录 中 ; 而 当前 网 站 普遍 的 首页 面 名 称 是 index.html， 





此 可 以 向 /var/www/html 目录 中 写 入 一 个 文件 ， 替 换 掉 httpd 服务 程序 的 默认 首页 面 ， 该 操作 
会 立即 生效 。 
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10.2 配置 服务 文件 参数 





在 执行 上 述 操作 之 后 ， 再 在 Firefox 浏览 器 中 刷新 httpd 服务 程序 ， 可 以 看 到 该 程序 的 首 
页 面 内 容 已 经 发 生 了 改变 ， 如 图 10-5 所 示 。 








[root@linuxprobe ~]# echo "Welcome To LinuxProbe.Com" > /var/www/html/index.html 
[root@linuxprobe ~]# firefox 








Mozilla Firefox 
File Edit View History Bookmarks Tools Help 
| http://127.0.0.1/ | 二 | 
127.0.0.1 v © | | 图 v coo9l QAyv 


“Welcome To LinuxProbe.Com” 








图 10-5 ”httpd 服务 程序 的 首页 面 内 容 已 经 被 修改 


大 家 在 完成 这 个 实验 之 后 ， 是 不 是 信心 爆棚 了 呢 ? ! 在 默认 情况 下 ， 网 站 数据 是 保存 在 
/Varl/www/html 目录 中 ， 而 如 果 想 把 保存 网 站 数据 的 目录 修改 为 /home/wwwroot 目录 ， 该 怎么 
操作 呢 ? 且 看 下 文 。 

第 1 步 : 建立 网 站 数据 的 保存 目录 ， 并 创建 首页 文件 。 


























[root@linuxprobe ~]# mkdir /home/wwwroot 
[root@linuxprobe ~]# echo "The New Web Directory" > /home/wwwroot/index.html 








第 2 步 : 打开 httpd 服务 程序 的 主 配置 文件 , 将 约 第 119 行 用 于 定义 网 站 数据 保存 路 径 的 
参数 DocumentRoot 修改 为 /home/wwwroot， 同 时 还 需要 将 约 第 124 行 用 于 定义 目录 权限 的 参 
数 Directory 后 面 的 路 径 也 修改 为 home/wwwroot。 配 置 文 件 修 改 完毕 后 即 可 保存 并 退出 。 











root@linuxprobe ~]# vim /etc/httpd/conf/httpd.conf 
NR 省 略 部 分 输出 信息 








115 # DocumentRoot: The directory out of which you will serve your 

116 # documents. By default, all requests are taken from this directory, but 
117 # symbolic links and aliases may be used to point to other locations. 
118 # 

119 DocumentRoot "/home/wwwroot" 


121 # 

122 # Relax access to content within /var/www. 
23 # 

124 <Directory "/home/wwwroot"> 

125 AllowOverride None 

126 # Allow open access: 

127 Require all granted 

128 </Directory> 

a 省 略 部 分 输出 信息 


root@linuxprobe ~]# 
































第 3 步 : 重新 启动 httpd 服务 程序 并 验证 效果 , 浏览 带 刷 新 页 面 后 的 内 容 如 图 10-6 所 示 。 
奇怪 ! 为 什么 看 到 了 httpd 服务 程序 的 默认 首页 面 ? 按理 来 说 ， 只 有 在 网 站 的 首页 面 文件 不 存 
在 或 者 用 户 权 限 不 足 时 ， 才 显示 httpd 服务 程序 的 默认 首页 面 。 我 们 在 尝试 访问 
http://127.0.0.1/index.html 页 面 时 , 竟然 发 现 页 面 中 显示 “Forbidden,You don't have permission to 
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access /index.html on this server.”。 而 这 一 切 正 是 SELinux 在 捣 鬼 。 





[root@linuxprobe ~]# systemctl1 restart httpd 
[root@linuxprobe ~]# firefox 
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图 10-6 ”httpd 服务 程序 的 默认 首页 面 











10.3” ”SELinux 安全 子 系统 

















SELinux ( Security-Enhanced Linux ) 是 美国 国家 安全 局 在 Linux 开源 社区 的 帮助 下 开发 
的 一 个 强制 访问 控制 (MAC，Mandatory Access Control ) 的 安全 子 系统 。RHEL 7 系统 使 用 
SELinux 技术 的 目的 是 为 了 让 各 个 服务 进程 都 受到 约束 ， 使 其 仅 获取 到 本 应 获取 的 资源 。 

例如 ， 您 在 自己 的 电脑 上 下 载 了 一 个 美 图 软件 ， 当 您 全 神 贯 注 地 使 用 它 给 照片 进行 美 颜 
的 时 候 ， 它 却 在 后 台 默 默 监 听 着 浏览 右 中 输入 的 密码 信息 ， 而 这 显然 不 应 该 是 它 应 做 的 事情 
(哪怕 是 访问 电脑 中 的 图 片 资源 ， 都 情 有 可 原 )。SELinux 安全 子 系统 就 是 为 了 杜绝 此 类 情况 
而 设计 的 ， 它 能 够 从 多 方面 监控 违法 行为 : 对 服务 程序 的 功能 进行 限制 (SELinux 域 限制 可 
以 确保 服务 程序 做 不 了 出 格 的 事情 ) 对 文件 资源 的 访问 限制 ( SELinux 安全 上 下 文 确保 文件 
资源 只 能 被 其 所 属 的 服务 程序 进行 访问 )。 

刘 遂 老师 经 常会 把 “SELinux 域 ” 和 “SELinux 安全 上 下 文 ” 称 为 是 Linux 系统 中 的 双 保 
险 ， 系 统 内 的 服务 程序 只 能 规 规矩 矩 地 拿 到 自己 所 应 该 获取 的 资源 ， 这 样 即 便 黑 客人 侵 了 系 
统 ， 也 无 法 利用 系统 内 的 服务 程序 进行 越权 操作 。 但 是 ， 非 常 可 惜 的 是 ，SELinux 服务 比较 
复杂 ， 配 置 难度 也 很 大 ， 加 之 很 多 运 维 人 员 对 这 项 技术 理解 不 深 ， 从 而 导致 很 多 服务 器 在 部 
署 好 Linux 系统 后 直接 将 SELinux 禁用 了 ; 这 绝对 不 是 明智 的 选择 。 

SELinux 服务 有 三 种 配置 模式 ， 具 体 如 下 。 

> enforcing: 强制 启用 安全 策略 模式 ， 将 拦截 服务 的 不 合法 请 求 。 

> permissive: 遇 到 服务 越权 访问 时 ， 只 发 出 警告 而 不 强制 拦截 。 

> disabled: 对 于 越权 的 行为 不 警告 也 不 拦截 。 
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本 书 中 的 所 有 实验 都 是 在 强制 启用 安全 策略 模式 下 进行 的 ， 虽然 在 禁用 SELinux 服务 后 
确实 能 够 减少 报错 几率 ,但 这 在 生产 环境 中 相当 不 推荐 。 建 议 大 家 检查 一 下 自己 的 系统 ， 查 
看 SELinux 服务 主 配 置 文件 中 定义 的 默认 状态 。 如 果 是 permissive 或 disabled， 建 议 赶紧 修改 


为 enforcing。 



































[root@linuxprobe ~]# vim /etc/selinux/config 

# This file controls the state of SELinux on the system. 

# SELINUX= can take one of these three values: 

# enforcing - SELinux security policy is enforced. 

# permissive - SELinux prints warnings instead of enforcing. 
# disabled - No SELinux policy is loaded. 

SELINUX=enforcing 

# SELINUXTYPE= can take one of these two values: 

# targeted - Targeted processes are protected, 

# minimum — Modification of targeted policy. Only selected processes are protected. 
# mls - Multi Level Security protection. 
SELINUXTYPE=targeted 








SELinux 服务 的 主 配置 文件 中 ， 定 义 的 是 SELinux 的 默认 运行 状态 ， 可 以 将 其 理解 为 系 
统 重启 后 的 状态 , 因此 它 不 会 在 更 改 后 立即 生效 。 可 以 使 用 getenforce 命令 获得 当前 SELinux 
服务 的 运行 模式 : 

















[root@linuxprobe ~]# getenforce 
Enforcing 

















为 了 确认 图 10-6 所 示 的 结果 确实 是 因为 SELinux 而 导致 的 ， 可 以 用 setenforce [0|1] 命 令 
修改 SELinux 当前 的 运行 模式 (0 为 禁用 ，1 为 启用 )。 注 意 ， 这 种 修改 只 是 临时 的 ， 在 系统 
重启 后 就 会 失效 : 








[root@linuxprobe ~]# setenforce 0 
[root@linuxprobe ~]# getenforce 
Permissive 











再 次 刷新 网 页 ， 就 会 看 到 正常 的 网 页 内 容 了 ， 如 图 10-7 所 示 。 可 见 ， 问题 确实 是 出 在 了 
SELinux 服务 上 面 。 





[root@linuxprobe ~]# firefox 








M Applications Places 


Mozilla Firefox 
































图 10-7 页 面 内 容 按 照 预 期 显示 


现在 ,我 们 来 回忆 一 下 前 面 的 操作 中 到 底 是 哪里 出 问题 了 呢 ? 

httpd 服务 程序 的 功能 是 允许 用 户 访 问 网 站 内 容 , 因此 SELinux 肯定 会 默认 放行 用 户 对 网 
站 的 请 求 操作 。 但是, 我 们 将 网 站 数据 的 默认 保存 目录 修改 为 了 /home/wwwroot， 而 这 就 产生 
问题 了 。 在 6.1 小 节 中 讲 到 ，/home 目录 是 用 来 存放 普通 用 户 的 家 目录 数据 的 ， 而 现在 ，httpd 
提供 的 网 站 服务 却 要 去 获取 普通 用 户 家 目录 中 的 数据 了 , 这 显然 违反 了 SELinux 的 监管 原则 。 
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现在 ， 我 们 把 SELinux 服务 恢复 到 强制 启用 安全 策略 模式 ， 然 后 分 别 查 看 原始 网 站 数据 
的 保存 目录 与 当前 网 站 数据 的 保存 目录 是 否 拥有 不 同 的 SELinux 安全 上 下 文 值 : 

















[root@linuxprobe ~]# setenforce 1 

[root@linuxprobe ~]# 1s -2Zd /var/www/html 

drwxr-xr-x. root root system u:object r:httpd sys content t:s0 /var/www/html 
[root@linuxprobe ~]# 1s -2dq /home/wwwroot 

drwxrwxrwx. root root unconfined u:object r:home root t:s0 /home/wwwroot 








在 文件 上 设置 的 SELinux 安全 上 下 文 是 由 用 户 段 、 角 色 段 以 及 类 型 段 等 多 个 信息 项 共同 
组 成 的 。 其 中 , 用 户 段 system_u 代表 系统 进程 的 身份 , 角色 段 object_r 代表 文件 目录 的 角色 ， 
类 型 段 httpd_sys_content t 代表 网 站 服务 的 系统 文件 。 由 于 SELinux 服务 实在 太 过 复杂 , 现在 
大 家 只 需要 简单 熟悉 SELinux 服务 的 作用 就 可 以 ， 刘 道 老师 未 来 会 在 本 书 的 进 阶 篇 中 单独 拿 
出 一 个 章节 仔细 讲解 SELinux 服务 。 

针对 当前 这 种 情况 ,我 们 只 需要 使 用 semanage 命令 ,将 当前 网 站 目录 /home/wwwroot 的 
SELinux 安全 上 下 文 修改 为 跟 原始 网 站 目录 的 一 样 就 可 以 了 。 
































10.3.1 semanage 命令 





semanage 命令 用 于 管理 SELinux 的 策略 ， 格 式 为 “semanage [选项 ] [文件 ]”。 

SELinux 服务 极 大 地 提升 了 Linux 系统 的 安全 性 ， 将 用 户 权 限 牢 牢 地 锁 在 笼子 里 。 
semanage 命令 不 仅 能 够 像 传统 chcon 命令 那样 一 一 设置 文件 、 目 录 的 策略 ， 还 可 以 管理 网 络 
端口 、 消 息 接口 〈 这 些 新 特性 将 在 本 章 后 文中 涵盖 )。 使 用 semanage 命令 时 ， 经 常用 到 的 几 
个 参数 及 其 功能 如 下 所 示 : 

> -1 参数 用 于 查询 ; 

> -a 参数 用 于 添加 ; 

> -m 参数 用 于 修改 ; 

> -d 参数 用 于 删除 。 

例如 ， 可 以 向 新 的 网 站 数据 目录 中 新 添加 一 条 SELinux 安全 上 下 文 ， 让 这 个 目录 以 及 里 
面 的 所 有 文件 能 够 被 httpd 服务 程序 所 访问 到 : 



































[root@linuxprobe ~]# semanage fcontext -a -t httpd sys content 七 /home/wwwroot 
[root@linuxprobe ~]# semanage fcontext -a -t httpd sys content 七 /home/wwwroot/* 





注意 ， 执 行 上 述 设置 之 后 ， 还 无 法 立即 访问 网 站 ， 还 需要 使 用 restorecon 命令 将 设置 好 
的 SELinux 安全 上 下 文 立即 生效 。 在 使 用 restorecon 命令 时 ,可 以 加 上 -Rv 参数 对 指定 的 目录 
进行 递归 操作 ， 以 及 显示 SELinux 安全 上 下 文 的 修改 过 程 。 最 后 ， 再 次 刷新 页 面 ， 就 可 以 正 
常 看 到 网 页 内 容 了 ， 结 果 如 图 10-8 所 示 。 


























[root@linuxprobe ~]# restorecon -Rv /home/wwwroot/ 

restorecon reset /home/wwwroot context unconfined u:object r:home root t:s0-> 
unconfined u:object r:httpd sys content 七 :SO 

restorecon reset /home/wwwroot/index.html context unconfined u:object r:home rocot 
t:s0->unconfined u:object r:httpd sys content 七 :SO 

[root@linuxprobe ~]# firefox 
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10.4 个 人 用 户主 页 功能 





二 Appllcations Places i Web Browser 曲名 Sun 17:32 加 root 
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图 10-8 正常 看 到 网 页 内 容 


真 可 谓 是 一 波 三 折 ! 原本 认为 只 要 把 httpd 服务 程序 配置 妥当 就 可 以 大 功 告 成 , 结果 却 反 
复 受到 了 SELinux 安全 上 下 文 的 限制 。 所 以 , 建议 大 家 在 配置 httpd 服务 程序 时 , 一 定 要 细心 、 
耐心 。 一 旦 成 功 配 妥 httpd 服务 程序 之 后 ， 就 会 发 现 SELinux 服务 并 没有 那么 难 。 


因为 在 RHCSA、RHCE 或 RHCA 考试 中 , 都 需要 先 重启 您 的 机 器 然后 再 执行 判 分 
脚本 。 因 此 ， 建 议 读者 在 日 常 工作 中 要 养 成 将 所 需 服务 添加 到 开机 局 动 项 中 的 习惯 ， 
比如 这 里 就 需要 添加 systemctl enable httpd 命令 。 
























































| 10.4 ”个 人 用 户主 页 功能 
































如 果 想 在 系统 中 为 每 位 用 户 建立 一 个 独立 的 网 站 ， 通 常 的 方法 是 基于 虚拟 网 站 主机 功能 
来 部 署 多 个 网 站 。 但 这 个 工作 会 让 管理 员 苦 不 堪 言 ( 尤其 是 用 户 数量 很 庞大 时 )， 而 且 在 用 户 
自行 管理 网 站 时 ， 还 会 碰 到 各 种 权限 限制 ， 需 要 为 此 做 很 多 额外 的 工作 。 其 实 ，httpd 服务 程 
序 提供 的 个 人 用 户主 页 功能 完全 可 以 以 胜任 这 个 工作 。 该 功能 可 以 让 系统 内 所 有 的 用 户 在 自 
己 的 家 目录 中 管理 个 人 的 网 站 ， 而 且 访问 起 来 也 非常 容易 。 

第 1 步 : 在 httpd 服务 程序 中 , 默认 没有 开启 个 人 用 户主 页 功能 。 为 此 , 我 们 需要 编辑 下 
面 的 配置 文件 ， 然 后 在 第 17 行 的 UserDir disabled 参数 前 面 加 上 井 号 (# )， 表 示 让 httpd 服务 
程序 开启 个 人 用 户主 页 功能 ; 同时 再 把 第 24 行 的 UserDir public_html 参数 前 面 的 井 号 (#) 
去 掉 (UserDir 参数 表示 网 站 数据 在 用 户 家 目录 中 的 保存 目录 名 称 ， 即 public_html 目录 )。 最 
后 ， 在 修改 完毕 后 记得 保存 。 


































































































[root@linuxprobe ~]# vim /etc/httpd/conf.d/userdir.conf 


1 # 

2 # UserDir: The name of the directory that is appended onto a user's home 
3 # directory if a ~user request is received. 

4 # 

5 # The path to the end user account 'public html' directory must be 

6 # accessible to the webserver userid. This usually means that ~userid 

7 # must have permissions of 711, ~userid/public html must have permissions 
8 # of 755, and documents contained therein must be world-readable. 

9 # Otherwise the client will only receive a "403 Forbidden" message. 

10 

11 <IfModule mod userdir.c> 

12 # 


13 # UserDir is disabled by default since it can confirm the presence 
14 # of a username on the system (depending on home directory 
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15 # permissions). 


16 # 

17 # UserDir disabled 

18 

19 # 

20 # To enable requests to /~user/ to serve the user's public html 

21 # directory, remove the "UserDir disabled" line above, and uncomment 
22 # the following line instead: 

23 # 


24 UserDir public html 

25 </IfModule> 

26 

27 3# 

28 # Control access to UserDir directories. The following is an example 
29 # for a site where these directories are restricted to read-only. 
30 t# 

31 <Directory "/home/*/public html"> 

32 AllowOverride FileInfo AuthConfig Limit Indexes 

33 Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec 

34 Require method GET POST OPTIONS 

35 </Directory> 














第 2 步 : 在 用 户 家 目录 中 建立 用 于 保存 网 站 数据 的 目录 及 首页 面 文件 。 另 外 ， 还 需要 把 


家 目录 的 权限 修改 为 755， 保 证 其 他 人 也 有 权限 读 取 里 面 的 内 容 。 

















[root@linuxprobe home]# su - linuxprobe 
Last login: Fri May 22 13:17:37 CST 2017 on :0 
[linuxprobe@linuxprobe ~]$ mkdir public html 


[linuxprobe@linuxprobe ~]$ echo "This is linuxprobe's website" > public html/ 


index.html 
[linuxprobe@linuxprobe ~]$ chmod -Rf 755 /home/linuxprobe 





第 3 步 : 重新 启动 httpd 服务 程序 ， 在 浏览 器 的 地 址 栏 中 输入 网 址 ， 其 格式 为 
用 户 名 ”( 其 中 的 波浪 号 是 必需 的 ， 而 且 网 址 、 波 浪 号 、 用 户 名 之 间 没 有 空格 )， 从 形 





“网 址 /~ 
LE 论 上 来 





讲 就 可 以 看 到 用 户 的 个 人 网 站 了 。 不 出 所 料 的 是 ， 系 统 显 示 报 错 页 面 ， 如 图 10-9 所 示 。 这 一 





定 还 是 SELinux 著 的 祸 。 


第 4 步 : 思考 这 次 报错 的 原因 是 什么 。httpd 服务 程序 在 提供 个 人 用 户主 页 功能 时 , 该 用 
户 的 网 站 数据 目录 本 身 就 应 该 是 存放 到 与 这 位 用 户 对 应 的 家 目录 中 的 ， 所 以 应 该 不 需要 修改 
家 目录 的 SELinux 安全 上 下 文 。 但 是 , 前文 还 讲 到 了 Linux 域 的 概念 。Linux 域 确保 服务 程序 





























不 能 执行 违规 的 操作 ， 只 能 本 本 分 分 地 为 用 户 提供 服务 。httpd 服务 中 突然 开启 的 这 项 个 人 用 





户主 页 功能 到 底 有 没有 被 SELinux 域 默 认 人 允许 呢 ? 





Applicutions Places “于 Web Browser 哮 Sun 18:20 


四 root 





403 Forbidden - Mozitia Firefox 


tile Edt 





Forbidden 


You don't have perm 


























10-9 禁止 访问 用 户 的 个 人 网 站 
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接 下 来 使 用 getsebool 命令 查询 并 过 滤 出 所 有 与 HTTP 协议 相 
为 禁止 状态 ，on 为 允许 状态 。 





10.4 个 人 用 户主 页 功能 





关 的 安全 策略 。 其 中 ，off 





[root@linuxprobe ~]# getsebool -a grep http 
httpd anon write --> off 

httpd builtin scripting --> on 
httpd can check spam --> off 

httpd can connect ftp --> off 
httpd can connect ldap --> off 
httpd can connect mythtv --> off 
httpd can connect zabbix --> off 
httpd can network connect --> off 
httpd can network connect cobbler --> off 
httpd can network connect db --> off 
httpd can network memcache --> off 
httpd can network relay --> off 
httpd can sendmail --> off 
httpd dbus avahi --> off 

httpd dbus sssd = 一 ©ff 

httpd dontaudit search dirs --> off 
httpd enable cgi --> on 

httpd enable ftp server --> off 
httpd enable homedirs --> off 
httpd execmem --> off 

httpd graceful shutdown --> on 
httpd manage ipa --> off 

httpd mod auth ntlm winbind --> off 
httpd mod auth pam --> off 

httpd read user content --> off 
httped Lun stickshift .== .0F£ 

httpd serve cobbler files --> off 
httpd setrlimit --> off 
httpd ssi exec --> off 

httpd sys_ script anon write --> off 
httPa tmp exec --> off 
httpd tty comm -—-> off 

httpd unified --> off 
httpd use cifs --> off 
httpd use fusefs --> off 
httpd use gpg --> off 

httpd use nfs --> off 
httpd use openstack --> off 
httpod use sasl —-> "0f£ 

httpd verify dns 一 -> off 

named tcp bind http port --> off 
prosody bind http port --> off 




















面 对 如 此 多 的 SELinux 域 安全 策略 规则 ， 实 在 没有 必要 逐个 理解 它们 ， 我 们 只 要 能 通过 
名 字 大 致 猜测 出 相关 的 策略 用 途 就 足够 了 。 比 如 ， 想 要 开局 httpd 服务 的 个 人 用 户主 页 功能 ， 





那么 用 到 的 SELinux 域 安 全 策略 应 该 是 httpd_enable homedirs i 




















巴 ? 大 致 确定 后 就 可 以 用 





setsebool 命令 来 修改 SELinux 策略 中 各 条 规则 的 布尔 值 了 。 大 家 一 定 要 记得 在 setsebool 命令 











后 面 加 上 -P 参数 ， 让 修改 后 的 SELinux 策略 规则 永久 生效 且 立 即 生 效 。 随 后 刷新 网 页 ， 其 效 
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果 如 图 10-10 所 示 。 





[root@linuxprobe ~]# setsebool -P httpd enable homedirs=on 
[root@linuxprobe ~]# firefox 








移 Appllcations Places we Browser 吊 加 Sun19:51 日 root 
Meorzills Firefox 
rile Tdit View iistory Bookmarks Tools lelp 


http-//127.0.0 


















































图 10-10 正常 看 到 个 人 用 户主 页 面 中 的 内 容 


有 时 ， 网 站 的 拥有 者 并 不 希望 直接 将 网 页 内 容 显示 出 来 ， 只 想 让 通过 身份 验证 的 用 户 访 
客 看 到 里 面 的 内 容 ， 这 时 就 可 以 在 网 站 中 添加 口令 功能 

第 1 步 : 先 使 用 htpasswd 命令 生成 密码 数据 库 。-c ,参数 表示 第 一 次 生成 ; 后 面 再 分 
别 添加 密码 数据 库 的 存放 文件 ,以 及 验证 要 用 到 的 用 户 名 称 ( 该 用 户 不 必 是 系统 中 已 有 的 
本 地 账户 )。 






























































[root@linuxprobe ~]# htpasswd -c /etc/httpd/passwd linuxprobe 
New password: 此 处 输入 用 于 网 页 验证 的 密码 
Re-type new password: 再 输入 一 遍 进 行 确认 


Adding password for user linuxprobe 























第 2 步 :编辑 个 人 用 户主 页 功能 的 配置 文件 .把 第 31 一 35 行 的 参数 信息 修改 成 下 列 内 容 ， 
其 中 井 号 (# ) 开头 的 内 容 为 刘 道 老 师 添 加 的 注释 信息 ， 可 将 其 忽略 。 随 后 保存 并 退出 配置 文 
件 ， 重 启 httpd 服务 程序 即 可 生效 。 





























[root@linuxprobe ~]# vim /etc/httpd/conf.d/userdir.conf 

27 # 

28 # Control access to UserDir directories. The following is an example 
29 # for a site where these directories are restricted to read-only. 

30 3# 

31 <Directory "/home/*/public html"> 

32 AllowOverride all 

# 刚 刚 生成 出 来 的 密码 验证 文件 保存 路 径 

33 authuserfile "/etc/httpd/passwd" 

# 当 用 户 尝试 访问 个 人 用 户 网 站 时 的 提示 信息 


34 authname "My privately website" 















































35 authtype basic 
# 用 户 进行 账户 密码 登录 时 需要 验证 的 用 户 名 称 


36 require user linuxprobe 





















































37 </Directory> 


[root@linuxprobe ~]# systemctl1 restart httpd 








此 后 ， 当 用 户 再 想 访 问 某 个 用 户 的 个 人 网 站 时 ， 就 必须 要 输入 账户 和 密码 才能 正常 访问 
了 。 另外 , 验证 时 使 用 的 账户 和 密码 是 用 htpasswd 命令 生成 的 专门 用 于 网 站 登录 的 口令 密码 ， 
而 不 是 系统 中 的 用 户 密码 ， 请 不 要 搞 错 了 。 登 录 界 面 如 图 10-11 所 示 。 
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Authentication Required 


起 Ausername and password Me being requested by nttp://127,0,0,1. The site says: My privately 
Ce website” 


User Neme: 





Password: 











图 10-11 网 站 提示 需要 输入 账户 和 密码 才能 访问 


110.5 ”虚拟 主机 功能 





如 果 每 台 运 行 Linux 系统 的 服务 右上 只 能 运行 一 个 网 站 ,那么 人 气 低 、 流 量 小 的 草 
根 站 长 就 要 被 迫 承 担 着 高 昂 的 服务 器 租赁 费用 了 ， 这 显然 也 会 造成 硬件 资源 的 浪费 。 在 
虚拟 专用 服务 器 ( Virtual Private Sever，VPS ) 与 云 计 算 技 术 诞 生 以 前 ，IDC 服务 供应 商 
为 了 能 够 更 充分 地 利用 服务 器 资源 ， 同 时 也 为 了 降低 购买 门槛 ， 于 是 纷纷 启用 了 虚拟 主 
机 功能 。 

利用 虚拟 主机 功能 ， 可 以 把 一 台 处 于 运行 状态 的 物理 服务 器 分 割 成 多 个 “虚拟 的 服 
务 器 "”。 但 是 ， 该 技术 无 法 实现 目前 云 主机 技术 的 硬件 资源 隔离 ， 让 这 些 虚拟 的 服务 器 
共同 使 用 物理 服务 器 的 硬件 资源 ， 供 应 商 只 能 限制 硬盘 的 使 用 空间 大 小 。 出 于 各 种 考虑 
的 因素 〈 主要 是 价格 低廉 )， 目 前 依然 有 很 多 企业 或 个 人 站 长 在 使 用 虚拟 主机 的 形式 来 
部 署 网 站 。 

Apache 的 虚拟 主机 功能 是 服务 器 基于 用 户 请 求 的 不 同 IP 地 址 、 主 机 域名 或 端口 号 ， 实 
现 提 供 多 个 网 站 同时 为 外 部 提供 访问 服务 的 技术 ， 如 图 10-12 所 示 ， 用 户 请 求 的 资源 不 同 ， 
最 终 获 取 到 的 网 页 内 容 也 各 不 相同 。 如 果 大 家 之 前 没有 做 过 网 站 ,可 能 不 太 理 解 其 中 的 原理 ， 
等 一 会 儿 搭 建 出 实验 环境 并 看 到 实验 效果 之 后 ， 您 一 定 就 会 明白 了 。 


再 次 提醒 大 家 ， 在 做 每 个 实验 之 前 请 先 将 虚拟 机 还 原 到 最 初始 状态 ， 以 免 多 个 实 
验 之 间 相 互 产生 冲突 。 
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ee LE 
~ 互联 网 (Internet) 


| | 
上 0 

| | 

| 


BBS,linuxprobe.com 





外 引 回 四 回回 司 


图 10-12 客户 端 向 服务 器 请 求 网 站 服务 


10.5.1 基于 IP 地 址 





如 果 一 台 服 务 器 有 多 个 IP 地 址 , 而且 每 个 卫 地 址 与 服务 器 上 部 署 的 每 个 网 站 一 一 对 应 ， 
这 样 当 用 户 请 求 访问 不 同 的 IP 地 址 时 ,会 访问 到 不 同 网 站 的 页 面 资源 。 而 且 ， 每 个 网 站 都 有 
一 个 独立 的 了 P 地 址 ， 对 搜索 引擎 优 化 也 大 有 神 益 。 因 此 以 这 种 方式 提供 虚拟 网 站 主机 功能 不 
仅 最 常见 ， 也 受到 了 网 站 站 长 的 欢迎 ( 尤其 是 草根 站 长 )。 

刘 北 老师 在 第 4 章 和 第 9 章 分 别 讲解 了 用 于 配置 网 络 的 两 种 方法 ， 大 家 在 实验 中 和 工作 
中 可 随意 选择 。 就 当前 的 实验 来 讲 ， 需 要 配置 的 卫 地 址 如 图 10-13 所 示 。 在 配置 完毕 并 重启 
网 卡 服务 之 后 , 记得 检查 网 络 的 连通 性 , 确保 三 个 卫 地 址 均 可 正常 访问 , 如 图 10-14 所 示 ( 这 
很 重要 ， 一定 要 测试 好 ， 然后 再 进行 下 一 步 ! )。 














root@linuxprobe:~/Desktop - 
File Edit View Search Terminal Help 


Edit connection 


Profile name 目 


= ETHERNET <Show> 


IPv4 CONFIGURATION 国 L> <Hide> 
8 2 <Remove> 
<Remove> 
<Remove> 


Gateway EE 
DNS servers <Add...> 
Search domains <Add...> 


Routing (No custom routes) <Edit...> 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 














10-13 ”使 用 nmtui 命令 配置 网 络 参数 


第 1 步 : 分 别 在 /home/wwwroot 中 创建 用 于 保存 不 同 网 站 数据 的 3 个 目录 ， 并 向 其 中 分 
别 写 入 网 站 的 首页 文件 。 每 个 首页 文件 中 应 有 明确 区 分 不 同 网 站 内 容 的 信息 ， 方 便 我 们 稍 后 
能 更 直观 地 检查 效果 。 
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root@Llinuxprobe:~/Desktop 


File Edit View Search Terminal Help 

root@linuxprobe Desktop 
rootG@Linuxprobe Desktop]# ping 192.168.10.10 

PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 
Bb4 bytes from 192.168.10.10: 
C 


--- 192.168.10.10 ping statistics --- 

packets transmitted, 1 received, QO% packet loss, 
= 0 .062/0. 2 QO. 52 2 ms 

@Linuxprobe pl# ping 

PING 192.168.10.20 (192.168.10. 26) 56(84) 

I64 bytes from 192.168.10.20: 

BB 

--- 192.168.10.20 ping statistics --- 

packets transmitted, 

rtt AAs TA A 


oie of data. 


0. 0 LO 44 900 ms 





e opl# PIng 
PING 192. 168.10.30 (192. 168. 10.30) 56(84) bytes of data. 


I64 bytes from 192.168.10.30: 
SS 

--- 192.168.10.30 ping statistics --- 

1 packets transmitted, 1 received, 0O% packet loss, 
rtt min/avg/max/mdev 0.098/0 .098/0 .098/0 .000 ms 
[root@linuxprobe Desktop]# 


icmp_seq=1l ttL=64 time=0.062 ms 


time Oms 


icmp_seq=1l ttL=64 time=0.104 ms 


1 received, QO% packet loss, time QOms 


icmp_seq=1l ttL=64 time=0.098 ms 


time QOms 











图 10-14 ”分别 检查 3 个 耳 地址 的 


连通 性 


























[root@linuxprobe 
[root@linuxprobe 
[root@1linuxprobe 
[root@linuxprobe 
[root@linuxprobe 
[root@linuxprobe 


~]# /home/wwwroot/10 
人 
&] 尖 
六 下 舌 
le 
~]# 


mkdir -p 
mkdir -p /home/wwwroot/20 
/home/wwwroot/30 
T925168%1010" 
192.168.10.20" 


L192..168;:10330" 


mkdir -p 
TEP: 
J 于 
下 下 及 号 


echo 
echo 
echo 


> /home/wwwroot/10/index.html 
> /home/wwwroot/20/index.html 
> /home/wwwroot/30/index.html 





第 2 步 : 在 httpd 服务 的 配置 文件 中 大 约 113 外 


了 处 开 始 ， 


拟 主机 网 站 参数 ， 然 后 保存 并 退出 。 记 得 需要 重启 httpd 服务 ， 


分 别 追加 写 人 三 个 基于 卫 地址 的 虚 
这 些 配置 才 生 效 。 





[root@linuxprobe ~]# vim /etc/httpd/conf/httpd.conf 








i 省 略 部 分 输出 信息 


<VirtualHost 192.168.10.10> 
DocumentRoot /home/wwwroot/10 
ServerName www.linuxprobe.com 
<Directory /home/wwwroot/10 > 
AllowOverride None 

Require all granted 
</Directory> 

</VirtualHost> 

<VirtualHost 192.168.10.20> 
DocumentRoot /home/wwwroot/20 
ServerName bbs.linuxprobe.com 
<Directory /home/wwwroot/20 > 
AllowOverride None 

Require all granted 
</Directory> 

</VirtualHost> 

<VirtualHost 192.168.10.30> 
DocumentRoot /home/wwwroot/30 
ServerName tech.linuxprobe.com 
<Directory /home/wwwroot/30 > 
AllowOverride None 

Require all granted 
</Directory> 

</VirtualHost> 
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Rn 省 略 部 分 输出 信息 





[root@linuxprobe ~]# systemctl1 restart httpd 














第 3 步 : 此 时 访问 网 站 , 则 会 看 到 httpd 服务 程序 的 默认 首页 面 。 大 家 现在 应 该 立刻 就 反 
应 过 来 一 一 这 是 SELinux 在 捣 鬼 。 由 于 当前 的 /home/wwwroot 目录 及 里 面 的 网 站 数据 目录 的 
SELinux 安全 上 下 文 与 网 站 服务 不 吻合 ， 因 此 httpd 服务 程序 无 法 获取 到 这 些 网 站 数据 目录 。 
我 们 需要 手动 把 新 的 网 站 数据 目录 的 SELinux 安全 上 下 文 设置 正确 ( 见 前 文 的 实验 ), 并 使 用 
restorecon 命令 让 新 设置 的 SELinux 安全 上 下 文 立即 生效 , 这 样 就 可 以 立即 看 到 网 站 的 访问 效 











果 了 ， 如 





图 10-15 所 示 。 

















root@linuxprobe ~]# 

root@linuxprobe ~]# semanage 
root@linuxprobe ~]# semanage 
root@linuxprobe ~]# semanage 
root@linuxprobe ~]# semanage 
root@linuxprobe ~]# semanage 
root@linuxprobe ~]# semanage 
root@linuxprobe ~]# 


restorecon reset 


unconfined u:object r:httpd sys content t:s0 


fcontext -a -=t 
fcontext -a -t 
fcontext -a -t 
fcontext -a -t 
fcontext -a -t 
fcontext -a -t 


semanage fcontext -a -t httpd sys content 七 /home/wwwroot 


httpd sys_ content 七 /home/wwwroot/10 
httpd sys content 七 /home/wwwroot/10/* 
httpd sys content t /home/wwwroot/20 
httpd sys content 七 /home/wwwroot/20/* 
httpd sys content t /home/wwwroot/30 
httpd sys content 七 /home/wwwroot/30/* 


restorecon -Rv /home/wwwroot 


/home/wwwroot context unconfined u:object r:home root t:s0-> 


restorecon reset /home/wwwroot/10 context unconfined u:object r:home root t:s0—- 
>unconfined u:object r:httpd sys content t:s0 


restorecon reset /home/wwwroot/10/index.html context unconfined u:object r:home_ 


root t:s0->unconfined u:object r:httpd sys content t:s0 


restorecon reset /home/wwwroot/20 context unconfined u:object r:home root t:s0-> 


unconfined u:object r:httpd sys content 七 :SO 


restorecon reset /home/wwwroot/20/index.html context unconfined u:object r:home_ 
root t:s0->unconfined u:object r:httpd sys content t:s0 


restorecon reset /home/wwwroot/30 context unconfined u:object r:home root t:s0-> 


unconfined u:object r:httpd sys content t:s0 


restorecon reset /home/wwwroot/30/index.html context unconfined u:object r:home_ 
root t:s0->unconfined u:object r:httpd sys content t:s0 


[root@linuxprobe ~]# firefox 
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Mozilla Firefox 
File Edit View History Bookmarks Tools Help 
http://192.168.10.20/ |+| 
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IP:192.168.10.20 | 
Mozilla Firefox 
File Edit View History Bookmarks JTools Help 
| 3http://192.168.10.30/ | 中 | 
192.168.10.30 v© 图 ~ Q J 合 
IP:192.168.10.30 
图 10-15 ”基于 不 同 的 他 地 址 访问 虚拟 主机 网 站 


10.5 虚拟 主机 功能 


10.5.2 ”基于 主机 域名 


月 





当 服务 器 无 法 为 每 个 网 站 都 分 配 一 个 独立 PP 地 址 的 时 候 ， 可 以 尝试 让 Apache 自动 识别 








户 请 求 的 域名 ， 从 而 根据 不 同 的 域名 请 求 来 传输 不 同 的 内 容 。 在 这 种 情况 下 的 配置 更 加 简 





单 ,只 需要 保证 位 于 生产 环境 中 的 服务 器 上 有 一 个 可 用 的 IP 地 址 ( 这 里 以 192.168.10.10 为 例 ) 
就 可 以 了 。 由 于 当前 还 没有 介绍 如 何 配 置 DNS 解析 服务 ， 因 此 需要 手工 定义 IP 地 址 与 域名 


之 间 的 对 应 关系 。/etc/hosts 是 Linux 系统 中 用 于 强制 把 某 个 主机 域名 解析 到 指定 IP 地 址 的 配 





置 文件 。 简 单 来 说 ， 只 要 这 个 文件 配置 正确 ， 即 使 网 卡 参数 中 没有 DNS 信息 也 依然 能 够 将 域 
名 解析 为 某 个 IP 地 址 。 


第 1 步 : 手工 定义 IP 地 址 与 域名 之 间 对 应 关系 的 配置 文件 ， 保 存 并 退出 后 会 立即 生效 。 








可 以 通过 分 别 ping 这 些 域名 来 验证 域名 是 否 已 经 成 功 解 析 为 IP 地 址 。 





[root@linuxprobe ~]# vim /etc/hosts 
二 人 党 localhost localhost.localdomain localhost4 localhost4.localdomain4 
ee localhost localhost.localdomain localhost6 localhost6.localdomain6 


192.168.10.10 www.linuxprobe.com bbs.linuxprobe.com tech.1LIinuxPzrobe .com 
[root@linuxprobe ~]# ping -c 4 www.linuxprobe.com 

PING www.linuxprobe.com (192.168.10.10) 56(84) bytes of data. 

64 bytes from www.linuxprobe.com (192.168.10.10): icmp seq=1 ttl1=64 time=0.070 ms 
64 bytes from www.linuxprobe.com (192.168.10.10): icmp seq=2 ttl1=64 time=0.077 ms 
64 bytes from www.linuxprobe.com (192.168.10.10): icmp seq=3 ttl1=64 time=0.061 ms 
64 bytes from www.linuxprobe.com (192.168.10.10): icmp seq=4 ttl1=64 time=0.069 ms 
—-—— Www.linuxprobe.com ping statistics 一 一 一 

4 packets transmitted, 4 received, 0% packet loss, time 2999ms 

rtt min/avg/max/mdev = 0.061/0.069/0.077/0.008 ms 


[root@linuxprobe ~]# 





帮 
公 | 
自 


第 2 步 : 分 别 在 /home/wwwroot 中 创建 用 于 保存 不 同 网 站 数据 的 三 个 目录 ， 并 向 其 中 分 








1 写 入 网 站 的 首页 文件 。 每 个 首页 文件 中 应 有 明确 区 分 不 同 网 站 内 容 的 信息 ， 方 便 我 们 稍 后 


直观 地 检查 效果 。 








[root@linuxprobe ~]# mkdir -p /home/wwwroot/www 

[root@linuxprobe ~]# mkdir -p /home/wwwroot/bbs 

[root@linuxprobe ~]# mkdir -p /home/wwwroot/tech 

[root@linuxprobe ~]# echo "WWW.1linuxprobe.com" > /home/wwwroot/www/index.html 
[root@linuxprobe ~]# echo "BBS.linuxprobe.com" > /home/wwwroot/bbs/index.html 
[root@linuxprobe ~]# echo "TECH.1Linuxprobe.com" > /home/wwwroot/tech/index.html 





第 3 步 : 在 httpd 服务 的 配置 文件 中 大 约 113 行 处 开始 , 分 别 追 加 写 人 三 个 基于 主机 名 的 


虚拟 主机 网 站 参数 ， 然 后 保存 并 退出 。 记 得 需要 重启 httpd 服务 ， 这 些 配 置 才 生效 。 





root@linuxprobe ~]# vim /etc/httpd/conf/httpd.conf 


a 省 略 部 分 输出 信息 ..……… 
113 <VirtualHost 192.168.10.10> 


114 DocumentRoot "/home/wwwroot/www" 








115 ServerName "www.linuxprobe.com" 


116 <Directory "/home/wwwroot/www"> 





117 AllowOverride None 
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使 用 Apache 服务 部 署 静态 网 站 


118 Require all granted 

119 </directory> 

120 </VirtualHost> 

121 <VirtualHost 192.168.10.10> 

122 DocumentRoot "/home/wwwroot/bbs" 
123 ServerName "bbs.linuxprobe.com" 
124 <Directory "/home/wwwroot/bbs"> 
125 AllowOverride None 

126 Require all granted 

127 </Directory> 

128 </VirtualHost> 

129 <VirtualHost 192.168.10.10> 

130 DocumentRoot "/home/wwwroot/tech" 
131 ServerName "tech.linuxprobe.com" 
132 <Directory "/home/wwwroot/tech"> 
133 AllowOverride None 

134 Require all granted 

135 </directory> 

136 </VirtualHost> 

… 省 略 部 分 输出 信息 .…………… 





























第 4 步 : 因为 当前 的 网 站 数据 目录 还 是 在 /home/wwwroot 目录 中 ， 因 此 还 是 必须 要 正确 


设置 网 站 数据 目录 文件 的 SELinux 安全 上 和 下文， 使 其 与 网 站 服务 功能 相 吻 合 。 最 后 记得 用 
restorecon 命令 让 新 配置 的 SELinux 安全 上 下 文 立即 生效 , 这 样 就 可 以 立即 访问 到 虚拟 主机 网 
站 了 ， 效 果 如 图 10-16 所 示 。 

















root@linuxprobe ~ semanage fcontext -a -t httpd sys content 七 /home/wwwroot 


root@linuxprobe ~ semanage fcontext -a -t httpd sys content 七 /home/wwwroot/www 


root@linuxprobe ~ semanage fcontext -a -t httpd sys content 七 /home/wwwroot/www/* 


root@linuxprobe ~ semanage fcontext -a -t httpd sys content 七 /home/wwwroot/bbs 


root@linuxprobe ~ semanage fcontext -a -t httpd sys content 七 /home/wwwroot/bbs/* 


root@linuxprobe ~ semanage fcontext -a -t httpd sys content 七 /home/wwwroot/tech 


root@linuxprobe ~ 


# 
# 
# 
# 
# 
# 
# semanage fcontext -a -t httpd sys content 七 /home/wwwroot/tech/* 
# 








root@linuxprobe ~ restorecon -Rv /home/wwwroot 

reset /home/wwwroot context unconfined u:object r:home root t:s0->unconfined u: 
object r:httpd sys content 七 :SO 

restorecon reset /home/wwwroot/www context unconfined u:object r:home root t: 
s0->unconfined u:object r:httpd sys content t:s0 

restorecon reset /home/wwwroot/www/index.html context unconfined u:object Fr: 
home root t:s0->unconfined u:object r:httpd sys content t:s0 

restorecon reset /home/wwwroot/bbs context unconfined u:object r:home root t: 
s0->unconfined u:object r:httpd sys content t:s0 

restorecon reset /home/wwwroot/bbs/index.html context unconfined u:object r: 
home root t:s0->unconfined u:object r:httpd sys content t:s0 

restorecon reset /home/wwwroot/tech context unconfined u:object r:home root t: 
s0->unconfined u:object r:httpd sys content t:s0 

restorecon reset /home/wwwroot/tech/index.html context unconfined u:object r: 
home root t:s0->unconfined u:object r:httpd sys content t:s0 


[root@linuxprobe ~]# firefox 
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图 10-16 基于 主机 域名 访问 虚拟 主机 网 站 


10.5.3 ”基于 端口 号 

















基于 端口 号 的 虚拟 主机 功能 可 以 让 用 户 通过 指定 的 端口 号 来 访问 服务 器 上 的 网 站 资源 。 
在 使 用 Apache 配置 虚拟 网 站 主机 功能 时 , 基于 端口 号 的 配置 方式 是 最 复杂 的 。 因 此 我 们 不 仅 
要 考虑 httpd 服务 程序 的 配置 因素 , 还 需要 考虑 到 SELinux 服务 对 新 开设 端口 的 监控 。 一 般 来 
说 ,使 用 80、443、8080 等 端口 号 来 提供 网 站 访问 服务 是 比较 合理 的 ， 如 果 使 用 其 他 端口 号 
则 会 受到 SELinux 服务 的 限制 。 

在 接 下 来 的 实验 中 ， 我 们 不 但 要 考虑 到 目录 上 应 用 的 SELinux 安全 上 下 文 的 限制 ， 还 需 
要 考虑 SELinux 域 对 httpd 服务 程序 的 管控 。 

第 1 步 : 分 别 在 /home/wwwroot 中 创建 用 于 保存 不 同 网 站 数据 的 两 个 目录 ， 并 向 其 中 分 
别 写 入 网 站 的 首页 文件 。 每 个 首页 文件 中 应 有 明确 区 分 不 同 网 站 内 容 的 信息 ， 方 便 我 们 稍 后 
能 更 直观 地 检查 效果 。 








Sy 






























































[root@linuxprobe ~]# mkdir -p /home/wwwroot/6111 
[root@linuxprobe ~]# mkdir -p /home/wwwroot/6222 
[root@linuxprobe ~]# echo "port:6111" > /home/wwwroot/6111/index.html 
[root@linuxprobe ~]# echo "potrt :6222" > /home/wwwroot/6222/index.html 





第 2 步 : 在 httpd 服务 配置 文件 的 第 43 行 和 第 44 行 分 别 添加 用 于 监听 6111 和 6222 
端口 的 参数 。 














[root@linuxprobe ~]# vim /etc/httpd/conf/httpd.conf 








ee. 省 略 部 分 输出 信息 
33 # 
34 # Listen: Allows you to bind Apache to specific IP addresses and/or 
35 # ports, instead of the default. See also the <VirtualHost> 
36 # directive. 
37 # 
38 # Change this to Listen on specific IP addresses as shown below to 
39 # prevent Apache from glomming onto all bound IP addresses. 
40 


41 #Listen 12.34.56.78:80 


使 用 Apache 服务 部 署 静态 网 站 


42 Listen 80 
43 Listen 6111 
44 Listen 6222 


-省略 部 分 输出 








息 
局 








虚拟 主机 网 站 参数 ， 


了 处 开始 ,分 另 别 亿 加 写 入 两 个 基于 端口 号 的 
这 些 配置 才 生 效 。 


第 3 步 : 在 httpd 服务 的 配置 文件 中 大 约 113 
然后 保存 并 退出 。 记 得 需要 重启 httpd 服务 ， 
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root@linuxprobe ~]# vim /etc/httpd/conf/httpd.conf 
.省 略 部 分 输出 信息 .… 
<VirtualHost 192.168.10.10:6111> 














114 DocumentRoot "/home/wwwroot/6111" 
115 ServerName www.l1linuxprobe.com 
116 <Directory "/home/wwwroot/6111"> 
117 AllowOverride None 

118 Require all granted 

119 </Directory> 
120 </VirtualHost> 
121 <VirtualHost 192.168.10.10:6222> 
122 DocumentRoot "/home/wwwroot/6222" 
123 ServerName bbs.linuxprobe.com 

24 <Directory "/home/wwwroot/6222"> 
125 AllowOverride None 

126 Require all granted 

127 </Directory> 

128 </VirtualHost> 





省略 部 分 输出 信息 … 


























第 4 步 : 因为 我 们 把 网 站 数据 目录 存放 在 /home/wwwroot 目录 中 ， 因 此 还 是 必须 要 正确 
设置 网 站 数据 目录 文件 的 SELinux 安全 上 下 文 ， 使 其 与 网 站 服务 功能 相 吻 合 。 最 后 记得 用 
restorecon 命令 让 新 配置 的 SELinux 安全 上 下 文 立 即 生 效 。 

[root@linuxprobe ~]# semanage fcontext -a -t httpd sys content 七 /home/wwwroot 

[root@linuxprobe ~]# semanage fcontext -a -t httpd sys content 七 /home/wwwroot/6111 

[root@linuxprobe ~]# semanage fcontext -a -t httpd sys content 七 /home/wwwroot/6111/* 

[root@linuxprobe ~]# semanage fcontext -a -t httpd sys content 七 /home/wwwroot/6222 

[root@linuxprobe ~]# semanage fcontext -a -t httpd sys content t /home/wwwroot/6222/* 

[root@linuxprobe ~]# restorecon -Rv /home/wwwroot/ 

restorecon reset /home/wwwroot context unconfined u:object r:home root t:s0-> 

unconfined u:object r:—httpd sys content 七 :SO 





restorecon reset /home/wwwroot/6111 context unconfined u:object r:home root t: 
s0->unconfined u:object r:httpd sys content t:s0 

restorecon reset /home/wwwroot/6111/index.html context unconfined u:object r: 
home root t:s0->unconfined u:object r:httpd sys content t:s0 

restorecon reset /home/wwwroot/6222 context unconfined u:object r:home root t: 
s0->unconfined u:object r:httpd sys content t:s0 

restorecon reset /home/wwwroot/6222/index.html context unconfined u:object r: 
home root t:s0->unconfined u:object r:httpd sys content t:s0 
[root@linuxprobe ~]# systemctl1 restart httpd 

Job for httpd.service failed. See 'systemctl] status httpd.service"' 


and 'journalct1— 


xn' for details. 





现 报 


要 的 资 
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见鬼 了 ! 在 妥当 配置 httpd 服务 程序 和 SELinux 安全 上 下 文 并 重启 httpd 服务 后 ， 竟 然 出 
错 信息 。 这 是 因为 SELinux 服务 检测 到 6111 和 6222 端口 原本 不 属于 Apache 服务 应 该 需 
源 ， 但 现在 却 以 httpd 服务 程序 的 名 义 监听 使 用 了 ， 所 以 SELinux 会 拒绝 使 用 Apache 



































服务 使 用 这 两 个 端口 。 我 们 可 以 使 用 semanage 命 
SELinux 服务 允许 的 端口 列表 。 


令 查 询 并 过 滤 出 所 有 与 HTTP 协议 相关 且 


10.6 ” Apache 的 访问 控制 








[root@linuxprobe ~]# semanage port -1 | grep http 
http cache port t tcp 8080, 8118, 8123, 10001-10010 


http _ cache port t udp 3130 

http port t tcp 80, 81, 443, 488, 8008, 8009, 
pegasus http port t tcp 5988 

pegasus https port t tcp 5989 


9000 








第 5 步 : SELinux 允许 的 与 HTTP 协议 相关 的 端口 号 中 默认 没有 包含 6111 和 6222， 因 此 需 
要 将 这 两 个 端口 号 手动 添加 进去 。 该 操作 会 立即 生效 ， 而 且 在 系统 重启 过 后 依然 有 效 。 设 




















置 好 后 再 重启 httpd 服务 程序 ， 然 后 就 可 以 看 到 网 页 内 容 了 











对 上 














， 结 果 如 图 10-17 所 示 。 





[root@linuxprobe ~]# semanage port -a -t http port t -p tcp 6111 
[root@linuxprobe ~]# semanage port -a -t http Port 七 -p tcp 6222 


[root@linuxprobe ~]# semanage port -1 | grep http 
http cache port t tcp 8080, 8118, 8123, 10001-10010 


http_ cache port t udp 3130 


http port t tcp 6222, 6111, 80, 81, 443, 488, 


pegasus http port t tcp 5988 

pegasus https port t tcp 5989 
[root@linuxprobe ~]# systemctl1 restart httpd 
[root@linuxprobe ~]# firefox 


8009, 8443, 9000 





Mozilla Firefox 


File Edit View History Bookmarks Tools Help 





由 


port:6222 





http://192.168.10.10:6111/ |*| 
192.168.10.10 | 图 ~ Q 业 人 合 
port:6111 
Mozilla Firefox 
File Edit View History Bookmarks TJTools Help 
| Ehttp://192.168.10.10:6222/ | 二 | 
192.168.10.10 图 ~ Q 全 











图 10-17 基于 端口 号 访问 虚拟 主机 网 站 





10.6 ”Apache 的 访问 控制 








Apache 可 以 基于 源 主 机 名 、 源 IP 地 址 或 源 主机 上 的 浏览 器 特征 等 信息 对 网 站 上 的 资源 
进行 访问 控制 。 它 通过 Allow 指令 允许 某 个 主机 访问 服务 器 上 的 网 站 资源 , 通过 Deny 指令 实 
现 禁 止 访问 。 在 允许 或 禁止 访问 网 站 资源 时 ,还 会 用 到 Order 指令 ,这 个 指令 用 来 定义 Allow 














或 Deny 指令 起 作用 的 顺序 , 其 匹配 原则 是 按照 顺序 进行 匹配 , 若 匹 配 成 功 则 执行 后 面 的 默认 
指令 。 比 如 “Order Allow, Deny” 表 示 先 将 源 主 机 与 允许 规则 进行 匹配 ， 若 匹配 成 功 则 允许 访 





问 请 求 ， 反 之 则 拒绝 访问 请 求 。 


第 1 步 : 先 在 服务 器 上 的 网 站 数据 目录 中 新 建 一 个 子 目 录 ， 并 在 这 个 子 目 录 中 创建 一 个 


包含 Successful 单词 的 首页 文件 。 
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使 用 Apache 服务 部 署 静态 网 站 





[root@linuxprobe ~]# mkdir /var/www/html/server 


[root@linuxprobe ~]# echo "Successful" > /var/www/html/server/index.html 





这 段 规则 的 含义 是 允许 使 





局 了 








第 2 步 :打开 httpd 服务 的 配置 文件 ,在 第 129 行 后 面 添加 下 述 规则 来 限制 源 主机 的 访问 。 








日 Firefox 浏览 需 的 主机 访问 服务 口上 的 首页 文件 , 除 此 之 外 的 所 有 
青 求 都 将 被 拒绝 。 使 用 Firefxo 浏览 器 的 访问 效果 如 图 10-18 所 示 。 








root@linuxprobe ~]# vim /etc/httpd/conf/httpd.conf 
ed 省 略 部 分 输出 信息 

129 <Directory "/var/www/html/server"> 

130 SetEnvIf User-Agent "Firefox" ff=1 

131 Order allow,deny 

132 Allow from env=ff 

133 </Directory> 

a 省 略 部 分 输出 信息 


root@linuxprobe ~]# systemctl1 restart httpd 














root@linuxprobe ~]# firefox 





除了 匹配 源 主 机 的 浏览 絮 特 征 之 外 , 还 可 以 通 





Mozilla Firefox 
File Edit View History Bookmarks Tools Help 
Ehttp://192.168.10.10/server/ X |ED Red Hat x | | 


192.168.10.10, 


Successful 








图 10-18 ”火狐 浏览 器 成 功 访问 

















过 匹配 源 主机 的 人 P 地 址 进行 访问 控制 。 例 








如 ,我们 只 允许 IP 地 址 为 192.168.10.20 的 主机 访问 网 站 资源 ， 那 么 就 可 以 在 httpd 服务 配置 


文件 的 第 129 行 后 面 添加 下 述 规则 。 这样 在 重启 httpd 服务 程序 后 再 用 本 机 ( 即 服务 顺 











其 IP 


rs 


地 址 为 192.168.10.10 ) 来 访问 网 站 的 首页 面 时 就 会 提示 访问 被 拒绝 了 ， 如 图 10-19 所 示 。 








root@linuxprobe ~]# vim /etc/httpd/conf/httpd.conf 
dd 省 略 部 分 输出 信息 








<Directory "/var/www/html/server"> 
Order allow,deny 

Allow from 192.168.10.20 

Order allow,deny 

Allow from env=ie 


</Directory> 





ee 省 略 部 分 输出 信息 


root@linuxprobe ~]# systemctl1 restart httpd 





root@linuxprobe ~]# firefox 
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403 Forbidden - Mozilla Firefox 
File Edit View History Bookmarks Tools Help 
[403 Forbidden | 二 | 


Forbidden 


You don't have permission to access /server/ on this server. 





192.168.10.10 © 图 v 








图 10-19 因 卫 地 址 不 符合 要 求 而 被 拒绝 访问 
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.什么 是 Web 网 络 服务 ? 
答 : 一 种 允许 用 户 通过 浏览 器 访问 到 互联 网 中 各 种 资源 的 服务 。 

















. 相 较 于 Nginx 服务 程序 ，Apache 服务 程序 最 大 的 优势 是 什么 ? 
答 : Apache 服务 程序 具备 跨 平台 特性 、 安 全 性 ,而 且 拥 有 快速 、 可 靠 、 简 单 的 API 扩展 。 


























.httpd 服务 程序 没有 检查 到 首页 文件 ， 会 提示 报错 信息 吗 ? 
答 : 不 会 ，httpd 服务 在 未 找到 网 站 首页 文件 时 ,会 向 访客 显示 一 个 默认 页 面 。 























.， 简 述 Apache 服务 主 配置 文件 中 全 局 配置 参数 、 区 域 配 置 参 数 和 注释 信息 的 作用 。 
答 : 全 局 配置 参数 是 一 种 全 局 性 的 配置 参数 ,可 作用 于 对 所 有 的 子 站 点 ; 区 域 配置 参数 则 
是 单独 针对 于 每 个 独立 的 子 站 点 进行 设置 的 ; 而 注释 信息 一 般 是 对 服务 程序 的 功能 或 某 一 
行 参数 进行 介绍 。 























. 简 述 SELinux 服务 的 作用 。 
答 : 为 了 让 各 个 服务 进程 都 受到 约束 ,使 其 仅 获取 到 本 应 获取 的 资源 。 





.在 使 用 getenforce 命令 查看 SELinux 服务 模式 时 ， 发 现 其 配置 模式 为 permissive， 这 代表 
强制 开启 模式 吗 ? 
答 : 不 是 ， 强 制 开启 模式 是 enforcing， 而 permissive 是 只 发 出 警告 而 不 强制 拦截 的 模式 。 












































.在 使 用 semanage 命令 修改 了 文件 上 应 用 的 SELinux 安全 上 下 文 后 ， 还 需要 执行 什么 命令 
才 可 以 让 更 改 立即 生效 ? 
答 : 还 需要 restorecon 命令 即 可 让 新 的 SELinux 安全 上 下 文 参数 立即 生效 。 











.要 想 查 询 并 过 滤 出 所 有 与 HTTP 协议 相关 的 SELinux 域 策 略 有 哪些 ， 应 该 怎么 做 呢 ? 
答 : 可 以 结合 管道 符 来 实现 ， 即 执行 getsebool -a | grep http 命令 。 


. Apache 服务 程序 可 以 基于 哪些 资源 来 创建 虚拟 主机 网 站 呢 ? 
答 : 可 以 基于 IP 地 址 、 主 机 名 〈 域名 ) 或 者 端口 号 创建 虚拟 主机 网 站 。 








相对 于 基于 IP 地 址 和 基于 主机 名 ( 域名 ) 配置 的 虚拟 主机 网 站 来 说 ,使 用 端口 号 配置 虚 
拟 主机 网 站 有 哪些 特点 ? 
答 : 在 使 用 端口 号 来 配置 虚拟 主机 网 站 时 ， 必 须要 考虑 到 SELinux 域 对 httpd 服务 程序 所 
用 端口 号 的 控制 策略 ， 还 要 在 httpd 服务 程序 的 主 配置 文件 中 使 用 Listen 参数 来 开启 要 监 
听 的 端口 号 。 
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EBERLE 


使 用 vsftpd 服务 传输 文件 


本 章 讲解 了 如 下 内 容 : 


> ”文件 传输 协议 ; 
> ”vsftpd 服务 程序 ; 
> ”简单 文件 传输 协议 。 


本 章 开 篇 讲解 了 什么 是 文件 传输 协议 (File Transfer Protocol，FTP )， 以 及 如 何 部 署 vsftpd 服 
务 程序 ， 然 后 深度 剖析 了 vsftpd 主 配 置 文 件 中 最 常用 的 参数 及 其 作用 ， 并 完整 演示 了 vsftpd 服务 
程序 三 种 认证 模式 ( 匿名 开放 模式 、 本 地 用 户 模式 、 虚 拟 用 户 模式 ) 的 配置 方法 。 本 章 还 涵盖 了 
可 插 拔 认 证 模块 (Pluggable Authentication Module，PAM ) 的 原理 、 作 用 以 及 实用 配置 方法 。 

读者 将 通过 本 章 介 绍 的 实战 内 容 进 一 步 练 习 SELinux 服务 的 配置 方法 ， 掌 握 简 单 文件 传 
输 协议 〈 Trivial File Transfer Protocol，TFTP ) 的 理论 及 配置 方法 ， 以 及 学 习 刘 道 老师 在 服务 
部 署 和 排 错 方面 的 经 验 技 巧 ， 以 便 灵活 应 对 生产 环境 中 遇 到 的 各 种 问题 。 


| 11.1 文件 传输 协议 
























































一 般 来 讲 ， 人 们 将 计算 机 联网 的 首要 目的 就 是 获取 资料 ， 而 文件 传输 是 一 种 非常 重要 
的 获取 资料 的 方式 。 今 天 的 互联 网 是 由 几 千 万 台 个 人 计算 机 、 工 作 站 、 服 务 器 、 小 型 机 、 
大 型 机 、 巨 型 机 等 具有 不 同型 号 、 不 同 架构 的 物理 设备 共同 组 成 的 ， 而 且 即 便 是 个 人 计算 
机 ,也 可 能 会 装 有 Windows、Linux 、UNIX、Mac 等 不 同 的 操作 系统 。 为 了 能 够 在 如 此 复杂 
多 样 的 设备 之 间 解 决 问题 解决 文件 传输 问题 ， 文 件 传输 协议 (FTP ) 应 运 而 生 。 

FTP 是 一 种 在 互联 网 中 进行 文件 传输 的 协议 , 基于 客户 端 / 服 务 器 模式 , 默认 使 用 20、21 
号 端口 ， 其 中 端口 20 (数据 端口 ) 用 于 进行 数据 传输 ， 端 口 21 (命令 端口 ) 用 于 接受 客户 端 
发 出 的 相关 FTP 命令 与 参数 。FTP 服务 器 普遍 部 署 于 内 网 中 ， 具 有 容易 搭建 、 方 便 管 理 的 特 
点 。 而 且 有 些 FTP 客户 端 工具 还 可 以 支持 文件 的 多 点 下 载 以 及 断 点 续 传 技术 ,因此 FTP 服务 
得 到 了 广大 用 户 的 青睐 。FTP 协议 的 传输 拓扑 如 图 11-1 所 示 。 


[| |] 二 
| 数据 资料 


FTP 客户 喘 ER 服 
图 11-1 FTP 协议 的 传输 拓扑 





















































11.1 文件 传输 协议 


FTP 服务 器 是 按照 FTP 协议 在 互联 网 上 提供 文件 存储 和 访问 服务 的 主机 ， FTP 客户 
端 则 是 癌 服 务 器 发 送 连接 请 求 ， 以 建立 数据 传输 链 路 的 主机 。FTP 协议 有 下 面 两 种 工作 
模式 。 

> 主动 模式 : FTP 服务 器 主动 向 客户 端 发 起 连接 请 求 。 

> 被 动 模式 : FTP 服务 器 等 待 客户 端 发 起 连接 请 求 (FTP 的 默认 工作 模式 )。 
第 8 章 在 学 习 防 火 墙 服务 配置 时 曾经 讲 过 ， 防 火 墙 一 般 是 用 于 过 滤 从 外 网 进入 内 网 的 流 
量 ， 因 此 有 些 时 候 需要 将 FTP 的 工作 模式 设置 为 主动 模式 ， 才 可 以 传输 数据 。 

vsftpd ( very secure ftp daemon， 非 常安 全 的 FTP 守护 进程 ) 是 一 款 运行 在 Linux 操作 系 
统 上 的 FTP 服务 程序 ， 不 仅 完全 开源 而 且 免 费 ， 此 外 ， 还 具有 很 高 的 安全 性 、 传 输 速度 ， 以 
及 支持 虚拟 用 户 验证 等 其 他 FTP 服务 程序 不 具备 的 特点 。 

在 配置 妥当 Yom 软件 仓库 之 后 ， 就 可 以 安装 vsftpd 服务 程序 了 。 





















































[root@linuxprobe ~]# yum install vsftpd 
Loaded plugins: langpacks, product-id, subscription-manager 


ee 省 略 部 分 输出 信息 














Package Arch Version Repository Size 








Installing: 
vsftpd x86 64 3.0.2-9.e17 rhel 166 k 


Transaction Summary 








Install 1 Package 

Total download size: 166 k 
Installed size: 343 k 

Is this ok [y/d/N]: y 
Downloading packages: 





Running transaction check 

Running transaction test 

Transaction test succeeded 

Running transaction 

Installing : vsftpd-3.0.2-9.el1l7.x86 64 1/1 
Verifying : vsftpd-3.0.2-9.e17.x86 64 1/1 
Installed: 

vsftpd.x86 64 0:3.0.2-9.el7 

Complete! 














iptables 防火 墙 管理 工具 默认 禁止 了 FTP 传输 协议 的 端口 号 ,因此 在 正式 配置 vsftpd 服务 
程序 之 前 ,为 了 避免 这 些 默认 的 防火 墙 策略 “捣乱 ”， 还 需要 清空 iptables 防火 墙 的 默认 策略 ， 
并 把 当前 已 经 被 清理 的 防火 墙 策略 状态 保存 下 来 : 
































[root@linuxprobe ~]# iptables -F 
[root@linuxprobe ~]# service iptables save 
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK | 








vsftpd 服务 程序 的 主 配置 文件 (/etc/vsftpd/vsftpd.conf ) 内 容 总 长 度 达到 123 行 ， 但 其 中 
大 多 数 参 数 在 开头 都 添加 了 井 号 (#)， 从 而 成 为 注释 信息 ， 大 家 没有 必要 在 注释 信息 上 花费 
太 多 的 时 间 。 我 们 可 以 在 grep 命令 后 面 添加 -v 参数 ， 过 滤 并 反选 出 没有 包含 并 号 (#) 的 参 
数 行 ( 即 过滤 掉 所 有 的 注释 信息 ), 然后 将 过 滤 后 的 参数 行 通过 输出 重 定向 符 写 回 原始 的 主 配 
置 文件 中 : 
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[root@linuxprobe ~]# mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf bak 
[root@linuxprobe ~]# grep -Vv "#" /etc/vsftpd/vsftpd.conf bak > /etc/vsftpd/vsftpd.conf 
[root@linuxprobe ~]# cat /etc/vsftpd/vsftpd.conf 


anonymous enable=YES 
local enable=YES 

write enable=YES 

local umask=022 
dirmessage enable=YES 
xferlog enable=YES 
connect from port 20=YES 
xferlog std format=YES 
listen=NO 

listen ipv6=YES 

pam service name=vsftpd 
userlist enable=YES 
tcp_wrappers=YES 
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表 11-1 中 罗列 了 vsftpd 服务 程序 主 配置 文件 中 常用 的 参数 以 及 作用 。 当 前 大 家 只 需要 简 
单 了 解 即 可 ， 在 后 续 的 实验 中 将 演示 这 些 参数 的 用 法 ， 以 帮助 大 家 熟悉 并 掌握 。 
表 11-1 vsftpd 服务 程序 常用 的 参数 以 及 作用 
参数 作用 
listen=[YES|NO] 否 以 独立 运行 的 方式 监听 服务 
listen address=IP 地 址 i IP 地 址 
listen port=21 设置 FTP 服务 的 监听 端口 
download _ enable= [YES |NO] 是 否 允许 下 载 文件 
userlist enable=[YES|NO] 设 团 用 户 列表 为 “ 介 许 ”还 是 “ 柳 止 ”操作 
userlist deny=[YES | NO] 
max clients=0 最 大 客户 端 连 接 数 ，0 为 不 限制 
max per ip=0 同一 了 P 地 址 的 最 大 连接 数 ，0 为 不 限制 
anonymous enable=[YES |NO] 是 否 人 允许 匿名 用 户 访问 
anon upload _ enable=[YES|NO] 是 否 允 许 匿名 用 户 上 传 文件 
anon umask=022 匿名 用 户 上 传 文件 的 umask 值 
anon root=/var/ftp 匿名 用 户 的 FTP 根 目录 
anon mkdir write enable=[YES |NO] 是 否 人 允许 匿名 用 户 创建 目录 
和 是 否 开放 匿名 用 户 的 其 他 写 和 人 权限 〈 包 括 重 命名 、 删 
加 除 等 操作 权限 ) 

anon max rate=0 匿名 用 户 的 最 大 传输 速率 ( 字 节 / 秒 )，0 为 不 限制 
local enable=[YES |NO] 是 否 允 许 本 地 用 户 登 录 FTP 
local umask=022 本 地 用 户 上 传 文件 的 umask 值 
local root=/var/ftp 本 地 用 户 的 FTP 根 目录 
chroot local user=[YES|NO] 是 否 将 用 户 权限 禁 铀 在 FTP 目录 ， 以 确保 安全 
local max rate=0 本 地 用 户 最 大 传输 速率 ( 字 节 / 秒 )，0 为 不 限制 





11.2 vsftpd 服务 程序 


11.2 vsftpd 服务 程序 








vsftpd 作为 更 加 安全 的 文件 传输 的 服务 程序 ， 允 许 用 户 以 三 种 认证 模式 登录 到 FTP 服务 


日 日 
J 

















> 匿名 开放 模式 : 是 一 种 最 不 安全 的 认证 模式 , 任何 人 都 可 以 无 需 密码 验证 而 直接 登录 


到 FTP 服务 器 。 








> 本 地 用 户 模 式 : 是 通过 Linux 系统 本 地 的 账户 密码 信息 进行 认证 的 模式 ， 相 较 于 匿名 
开放 模式 更 安全 ,而且 配置 起 来 也 很 简单 。 但 是 如 果 被 黑客 破解 了 账户 的 信息 ， 就 可 











以 畅通 无 阻 地 登录 FTP 服务 器 ， 从 而 完全 控制 整 台 服 务 器 。 




















> 虚拟 用 户 模式 : 是 这 三 种 模式 中 最 安全 的 一 种 认证 模式 ， 它 需要 为 FTP 服务 单独 
建立 用 户 数 据 库 文件 ， 虚 拟 出 用 来 进行 口令 验证 的 账户 信息 ， 而 这 些 账户 信息 在 








服务 器 系统 中 实际 上 是 不 存在 的 ， 仅 供 FTP 服务 程序 进行 认证 使 月 








有 日。 这样， 即使 


黑客 破解 了 账户 信息 也 无 法 登录 服务 器 ， 从 而 有 效 降 低 了 破坏 范围 和 影响 。 
ftp 是 Linux 系统 中 以 命令 行 界面 的 方式 来 管理 FTP 传输 服务 的 客户 端 工具 。 我 们 首先 手 














动 安装 这 个 ftp 客户 端 工 具 ， 以 便 在 后 续 实 验 中 查看 结果 。 











root@linuxprobe ~]# yum install ftp 

Loaded Plugins: langpacks, product-id, subscription-manager 
ee 省 略 部 分 输出 信息 

Installing: 

ftp x86 64 0.17-66.e17 rhel 61 k 


Transaction Summary 














Install 1 Package 

Total download size: 61 k 
Installed size: 96 k 

Is this ok [y/d/N]: y 
Downloading packages: 





Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 
Installing : ftp-0.17-66.e17.x86 64 1/1 
Verifying : ftp-0.17-66.e17.x86 64 1/1 
Installed: 
ftp.x86 64 0:0.17-66.el17 
Complete! 





11.2.1 匿名 开放 模式 











前 文 提 到 ,在 vsftpd 服务 程序 中 ， 匿 名 开放 模式 是 最 不 安全 的 一 种 认证 模式 。 任 何人 都 
可 以 无 需 密码 验证 而 直接 登录 到 FTP 服务 器 。 这 种 模式 一 般 用 来 访问 不 重要 的 公开 文件 (在 





























生产 环境 中 尽量 不 要 存放 重要 文件 )。 当然， 如 果 采 用 第 8 章 中 介绍 的 防火 








洋 管 班 











EE 工具 (如 


Tcp_wrappers 服务 程序 ) 将 vsftpd 服务 程序 允许 访问 的 主机 范围 设置 为 企业 内 网 ， 也 可 以 提 


供 基本 的 安全 性 。 


























vsftpd 服务 程序 默认 开启 了 匿名 开放 模式 ， 我 们 需要 做 的 就 是 开放 匿名 用 户 的 上 传 、 下 


219 


使 用 vsftpd 服务 传输 文件 


载 文件 的 权限 ， 以 及 让 匿名 用 户 创建 、 删 








除 、 更 名 文件 的 权限 。 需 要 注意 的 是 ， 针 对 匿名 用 


户 放 开 这 些 权 限 会 带 来 潜在 危险 ,我 们 只 是 为 了 在 Linux 系统 中 练习 配置 vsftpd 服务 程序 而 





放 开 了 这 些 权限 ， 不 建议 在 生产 环境 中 如 此 行事 。 表 11-2 罗列 了 可 以 向 匿名 用 户 开放 的 权限 


















































参数 以 及 作用 。 
表 11-2 可 以 向 匿名 用 户 开放 的 权限 参数 以 及 作用 
参数 作用 
anonymous enable=YES 允许 匿名 访问 模式 
anon umask=022 匿名 用 户 上 传 文件 的 umask 值 
anon upload enable=YES 人 允许 匿名 用 户 上 传 文件 
anon mkdir write enable=YES 允许 匿名 用 户 创建 目录 
anon other write enable=YES 人 允许 匿名 用 户 修改 目录 名 称 或 删除 目录 






































[root@linuxprobe ~]# vim /etc/vsftpd/vsftpd.conf 
anonymous enable=YES 
anon umask=022 
anon upload enable=YES 
anon mkdir write enable=YES 
anon other write enable=YES 
local enable=YES 
write enable=YES 

local umask=022 
dirmessage enable=YES 
xferlog enable=YES 
connect from port 20=YES 
xferlog std format=YES 
listen=NO 

listen ipv6=YES 

pam service name=vsftpd 
userlist enable=YES 
tcp_wrappers=YES 








在 vsftpd 服务 程序 的 主 配 置 文件 中 正确 























[号 参 数 ， 然 后 保存 并 退出 。 还 需要 重启 vsftpd 


服务 程序 ， 让 新 的 配置 参数 生效 。 在 此 需要 提醒 各 位 读者 ， 在 生产 环境 中 或 者 在 RHCSA、 








I 
和 





RHCE 、RHCA 认证 考试 中 一 定 要 
重启 后 依然 能 够 正常 提供 传输 服务 : 














配置 过 的 服务 程序 加 入 到 开机 启动 项 中 , 以 保证 服务 器 在 





[root@linuxprobe ~]# systemctl1 restart vsftpd 
[root@linuxprobe ~]# systemctl1 enable vsftpd 
et 
target .wants/vsftpd.service 


'/usr/lib/systemd/system/vsftpd.service' '/etc/systemd/system/multi-user. 








现在 就 可 以 在 客户 端 执行 ftp 命令 连接 到 远程 的 FTP 服务 器 了 。 在 vsftpd 服务 程序 的 匿 








名 开放 认证 模式 下 ， 其 账户 统一 为 anonymous ， 密 码 为 空 。 而 ] 





是 在 连接 到 FTP 服务 器 后 ， 





虫 


认 访 问 的 是 /var/ftp 目录 。 我 们 可 以 切换 到 该 目录 下 的 pub 目录 中 ， 然 后 尝试 创建 一 个 新 的 目 




















录 文 伯 


， 以 检验 是 否 拥有 写 人 权限 : 
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11.2 vsftpd 服务 程序 





[root@linuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10) . 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root) : anonymous 
331 Please specify the password. 
Password: 此 处 按 下 回 车 键 即 可 

230 Login successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 
ftp>.-Cd Pub 

250 Directory successfully changed. 
ftp> mkdir files 

550 Permission denied. 




















系统 显示 拒绝 创建 目录 ! 我 们 明明 在 前 面 清 空 了 iptables 防火 墙 策 略 ， 而 且 也 在 vsftpd 
服务 程序 的 主 配 置 文件 中 添加 了 允许 匿名 用 户 创建 目录 和 写 入 文件 的 权限 啊 。 建 议 大 家 先 不 
要 着 急 往 下 看 ， 而 是 自己 思考 一 下 这 个 问题 的 解决 办 法 ， 以 锻炼 您 的 Linux 系统 排 错 能 

前 文 提 到 ， 在 vsftpd 服务 程序 的 匿名 开放 认证 模式 下 ， 默 认 访问 的 是 /varvftp 目录 。 查 看 
该 目录 的 权限 得 知 ， 只 有 root 管理 员 才 有 写 和 人 权限。 怪不得 系统 会 拒绝 操作 呢 ! 下 面 将 目录 
的 所 有 者 身份 改 成 系统 账户 ftp 即 可 (该 账户 在 系统 中 已 经 存在 )， 这 样 应 该 可 以 了 吧 : 


[root@linuxprobe ~]# 1s -ld /var/ftp/pub 

drwxr-xr-x. 3 root root 16 Jul 13 14:38 /var/ftp/pub 
[root@linuxprobe ~]# chown -Rf ftp /var/ftp/pub 
[root@linuxprobe ~]# 1s -ld /var/ftp/pub 

drwxr-xr-x. 3 ftp root 16 Jul 13 14:38 /var/ftp/pub 
[root@linuxprobe ~]# ftp 192.168.10.10 

Connected to 192.168.10.10 (192.168.10.10) . 

220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root) : anonymous 







































































331 Please specify the password. 
Password: 此 处 按 下 回 车 键 即 可 

230 Login successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 
ftp>. cd. Pub 

250 Directory successfully changed. 
ftp> mkdir files 

550 Create directory operation failed. 


系统 再 次 报错 ! 尽管 我 们 在 使 用 ftp 命令 登入 FTP 服务 器 后 , 再 创建 目录 时 系统 依然 提 
示 操 作 失 败 ， 但 是 报错 信息 却 发 生 了 变化 。 在 没有 写 和 人 权限 时， 系统 提示 “权限 拒绝 ” 
(Permission denied ) 所 以 刘 堵 老师 怀疑 是 权限 的 问题 ,但 现在 系统 提示 “创建 目录 的 操作 失 
败 ”( Create directory operation failed )， 想 必 各 位 读者 也 应 该 意识 到 是 SELinux 服务 在 “ 执 
乱 ” 了 吧 。 

下 面 使 用 getsebool 命令 查看 与 FTP 相关 的 SELinux 域 策略 都 有 哪些 . 

[root@linuxprobe ~]# getsebool -a | grep ftp 


ftp home dir --> off 
ftpd anon write --> off 

















ftpd connect all unreserved --> off 
ftpd connect db --> off 
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ftpd full access --> off 
ftpd use cifs --> off 
ftpd use fusefs --> off 
ftpd. use nfs. 一 一 > Off 

ftpd use passive mode --> off 
httpd can connect ftp --> off 
httpd enable ftp server --> off 
sftpd anon write --> off 
sftpd enable homedirs --> off 
sftpd full access --> off 
sftpd write ssh home --> off 
tftp anon write --> off 

tftp home dir --> off 








我 们 可 以 根据 经 验 (需要 长 期 培养 , 别 无 它 法 ) 和 策略 的 名 称 判 断 出 是 ftpd_full_access--> off 
策略 规则 导致 了 操作 失败 。 接 下 来 修改 该 策略 规则 , 并 且 在 设置 时 使 用 -P 参数 让 修改 过 的 策略 永 
久生 效 ， 确 保 在 服务 器 重启 后 依然 能 够 顺利 写 人 文件 。 











[root@linuxprobe ~]# setsebool -P ftpd full _ access=on 





现在 便 可 以 顺利 执行 文件 创建 、 修 改 及 删除 等 操作 了 。 


再 次 提醒 各 位 读者 ， 在 进行 下 一 次 实验 之 前 ， 一 定 记得 将 虚拟 机 还 原 到 最 初始 的 
状态 ， 以 免 多 个 实验 相互 产生 冲突 。 





[root@linuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10) . 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root) : anonymous 

331 Please specify the password. 
Password: 此 处 按 下 回 车 键 即 可 

230 Login successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 
toed Pub 

250 Directory successfully changed. 

ftp> mkdir files 

257 "/pub/files" created 

ftp> rename files database 

350 Ready for RNTO. 

250 Rename successful. 

ftp> rmdir database 

250 Remove directory operation successful. 
ftp> exit 

221 Goodbye. 





11.2.2 ”本 地 用 户 模式 


相 较 于 匿名 开放 模式 ， 本 地 用 户 模式 要 更 安全 ， 而 且 配置 起 来 也 很 简单 。 如 果 大 家 之 前 
用 的 是 匿名 开放 模式 ， 现 在 就 可 以 将 它 关 了 ， 然 后 开启 本 地 用 户 模 式 。 针 对 本 地 用 户 模 式 的 
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权限 参数 以 及 作用 如 表 11-3 所 示 。 



















































































表 11-3 本 地 用 户 模式 使 用 的 权限 参数 以 及 作用 
参数 作用 

anonymous_enable=NO 禁止 匿名 访问 模式 
local enable=YES 允许 本 地 用 户 模式 
write enable=YES 设置 可 写 权限 
local umask=022 本 地 用 户 模 式 创 建文 件 的 umask 值 
userlist enable=YES 启用 “禁止 用 户 名 单 ”， 名 单 文件 为 ftpusers 和 user list 
userlist deny=YES 开启 用 户 作 用 名 单 文件 功能 











[root@linuxprobe ~]# vim /etc/vsftpd/vsftpd.conf 
anonymous_enable=NO 
local enable=YES 
write enable=YES 
local umask=022 
dirmessage enable=YES 
xferlog enable=YES 
connect from port 20=YES 
xferlog std format=YES 
listen=NO 

0 listen ipv6=YES 

11 pam service name=vsftpd 

12 userlist enable=YES 

13 tcp wrappers=YES 


FiDo~ 和 WP 上 








在 vsftpd 服务 程序 的 主 配置 文件 中 正确 填写 参数 ， 然 后 保存 并 退出 。 还 需要 重启 vsftpd 
服务 程序 ， 让 新 的 配置 参数 生效 。 在 执行 完 上 一 个 实验 后 还 原 了 虚拟 机 的 读者 ， 还 需要 将 配 
置 好 的 服务 添加 到 开机 启动 项 中 ， 以 便 在 系统 重启 自 后 依然 可 以 正常 使 用 vsftpd 服务 。 



































[root@linuxprobe ~]# systemctl1 restart vsftpd 

[root@linuxprobe ~]# systemctl1 enable vsftpd 

ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/systemd/system/multi-user. 
target .wants/vsftpd.service 





按理 来 讲 , 现在 已 经 完全 可 以 本 地 用 户 的 身份 登录 FTP 服务 器 了 。 但 是 在 使 用 root 管理 
员 登 录 后 ,系统 提 示 如 下 的 错误 信息 : 











[root@linuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10) . 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): root 

530 Permission denied. 

Login failed. 

ftp> 




















可 见 , 在 我 们 输入 root 管理 员 的 密码 之 前 , 就 已 经 被 系统 拒绝 访问 了 。 这 是 因为 vsftpd 服务 
程序 所 在 的 目录 中 默认 存放 着 两 个 名 为 “用 户 名 单 ” 的 文件 ( ftpusers 和 user_list )。 不 知道 大 
家 是 否 已 看 过 一 部 日 本 电影 “死亡 笔记 ”( 刘 遂 老师 在 上 学 期 间 的 最 爱 )， 里 面 就 提 到 有 一 个 
黑色 封皮 的 小 本 子 , 只 要 将 别人 的 名 字 写 进去 , 这 人 就 会 挂 掉 。vsftpd 服务 程序 目录 中 的 这 两 
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个 文件 也 有 类 似 的 功能 
服务 角 上 。 


只 要 里 面 写 有 茶 位 用 户 的 名 字 ， 就 不 再 允许 这 位 用 户 登 录 到 FTP 








[root@linuxprobe ~]# cat /etc/vsftpd/user list 
# vsftpd userlist 
If userlist deny=NO, only allow users in this file 
If userlist deny=YES (default), never allow users in this file, and 


# 

# 

# do not even prompt for a password. 

# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers 
# 


for users that are denied. 


aD 10 3 Hw 


daemon 
adm 
JP 
sync 
shutdown 
halt 
mail 
news 
uucp 
operator 
games 


*H WD 00 1 A 


ND + 


nobody 

root@linuxprobe ~]# cat /etc/vsftpd/ftpusers 
Users that are not allowed to login via ftp 
Eee 起 


bin 


LO IN 


Qaemon 








~ 


adm 
5, “LB 

6 sync 
7 shutdown 
8 halt 

9 mail 

10 news 

11 uucp 

12 operator 
13 games 

14 nobody 








果然 如 此 ! vsftpd 服务 程序 为 了 保证 服务 器 的 安全 性 而 默认 禁止 了 root 管理 员 和 大 多 数 
系统 用 户 的 登录 行为 ， 这 样 可 以 有 效 地 避免 黑客 通过 FTP 服务 对 root 管理 员 密 码 进行 暴力 破 
解 。 如 果 您 确认 在 生产 环境 中 使 用 root 管理 员 不 会 对 系统 安全 产生 影响 ， 只 需 按 照 上 面 的 提 
示 删 除 掉 root 用 户 名 即 可 。 我 们 也 可 以 选择 ftpusers 和 user_list 文件 中 没有 的 一 个 普通 用 户 尝 
试 登录 FTP 服务 器 : 


















































[root@linuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10) . 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): linuxprobe 

331 Please specify the password. 

Password: 此 处 输入 该 用 户 的 密码 


230 Login successful. 
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Remote System type is UNIX. 

Using binary mode to transfer files. 
ftp> mkdir files 

550 Create directory operation failed. 




















在 采用 本 地 用 户 模式 登录 FTP 服务 器 后 ， 默 认 访 问 的 是 该 用 户 的 家 目录 ， 也 就 是 说 ， 访 
































问 的 是 /home/linuxprobe 目录 。 而 且 该 目录 的 默认 所 有 者 、 所 属 组 都 是 该 用 户 自己 ， 























因此 不 存 





在 写 入 权限 不 足 的 情况 。 但 是 当前 的 操作 仍然 被 拒绝 ， 是 因为 我 们 刚才 将 虚拟 机 系统 还 原 到 


最 初 的 状态 了 。 为 此 ， 需 要 再 次 开启 SELinux 域 中 对 FTP 服务 的 允许 策略 : 





[root@linuxprobe ~]# getsebool -a | grep ftp 
ftp home dir --> off 

ftpd anon write --> off 

ftpd connect all unreserved --> off 

ftpd connect db --> off 

ftpd full access --> off 

ftpd use cifs --> off 

ftpqd use fusefs --> off 

ftpqd use nfs --> off 

ftpd use passive mode --> off 

httpd can connect ftp ~—~> off 

httpd enable ftp server --> off 
sftpd anon write --> off 

sftpd enable homedirs --> off 
sftpd full access --> off 

sftpd write ssh home --> off 

tftp anon write --> off 

tftp home dir --> off 

[root@linuxprobe ~]# setsebool -P ftpd full access=on 








刘 禾 老师 再 哩 呈 几 句 。 在 实验 课程 和 生产 环境 中 设置 SELinux 域 策略 时 ， 一定 记得 添加 -P 








参数 ， 否 则 服务 器 在 重启 后 就 会 按照 原 有 的 策略 进行 控制 ， 从 而 导致 配置 过 的 服务 无 法 使 用 。 


























在 配置 妥当 后 再 使 用 本 地 用 户 尝试 登录 下 FTP 服务 器 ， 分 别 执行 文件 的 创建 、 
删除 等 命令 。 操 作 均 成 功 ! 











重 命名 及 





[root@linuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10) . 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): linuxprobe 

331 Please specify the password. 

Password: 此 处 输入 该 用 户 的 密码 

230 Login successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp> mkdir files 

257 "/home/linuxprobe/files" created 

ftp> rename files database 

350 Ready for RNTO. 

250 Rename successful. 

ftp> rmdir database 

250 Remove directory operation successful. 
ftp> exit 

221 Goodbye. 
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11.2.3 ”虚拟 用 户 模 式 








我 们 最 后 讲解 的 虚拟 用 户 模式 是 这 三 种 模式 中 最 安全 的 一 种 认证 模式 ， 当 然 ， 因 为 安全 








性 较 之 于 前 面 两 种 模式 有 了 提升 ， 所 以 配置 流程 也 会 稍微 复杂 一 些 。 








第 1 步 : 创建 用 于 进行 FTP 认证 的 用 户 数据 库 文件 ， 其 中 奇数 行为 账户 名 ,偶数 行为 密 


人 码 。 例 如 ， 我 们 分 别 创建 出 zhangsan 和 lisi 两 个 用 户 ， 密 码 均 为 redhat: 


O 





[root@linuxprobe ~]# cd /etc/vsftpd/ 
[root@linuxprobe vsftpd]# vim vuser.1list 
zhangsan 

redhat 

于 主 S 守 

redhat 











但 是 ,明文 信息 既 不 安全 , 也 不 符合 让 vsftpd 服务 程序 直接 加 载 的 格式 ， 因 此 需要 使 
用 db_load 命令 用 哈 希 (hash ) 算法 将 原始 的 明文 信息 文件 转换 成 数据 库 文件 ， 并 且 降 低 
数据 库 文件 的 权限 ( 避免 其 他 人 看 到 数据 库 文件 的 内 容 )， 然 后 再 把 原始 的 明文 信息 文件 

















删除 。 








[root@linuxprobe vsftpdl# db load -T -t hash -f vuser.list vuser.db 
[root@linuxprobe vsftpd]l# file vuser.db 

vuser.db: Berkeley DB (Hash, version 9, native byte-order) 
[root@linuxprobe vsftpd]l# chmod 600 vuser.db 

[root@linuxprobe vsftpdq]# rm -f vuser.list 





第 2 步 : 创建 vsftpd 服务 程序 用 于 存储 文件 的 根 目录 以 及 虚拟 用 户 映 射 的 系统 本 地 











用 户 。FTP 服务 用 于 存储 文件 的 根 目 录 指 的 是 ， 当 虚拟 用 户 登 录 后 所 访问 的 默认 位 置 。 











由 于 Linux 系统 中 的 每 一 个 文件 都 有 所 有 者 、 所 属 组 属性 ， 例 如 使 用 虚拟 账户 “ 张 三 ” 
新 建 了 一 个 文件 , 但 是 系统 中 找 不 到 账户 “ 张 三 ”, 就 会 导致 这 个 文件 的 权限 出 现 错误 。 为 此 ， 
需要 再 创建 一 个 可 以 映射 到 虚拟 用 户 的 系统 本 地 用 户 。 简 单 来 说 ， 就 是 让 虚拟 用 户 默认 登录 
到 与 之 有 了 映射 关系 的 这 个 系统 本 地 用 户 的 家 目录 中 ， 虚 拟 用 户 创建 的 文件 的 属性 也 都 归属 于 























这 个 系统 本 地 用 户 ， 从 而 避免 Linux 系统 无 法 处 理 虚 拟 用 户 所 创建 文件 的 属性 权限 。 














为 了 方便 管理 FTP 服务 器 上 的 数据 ， 可 以 把 这 个 系统 本 地 用 户 的 家 目录 设置 为 /var 目录 
( 该 目录 用 来 存放 经 常 发 生 改 变 的 数据 )。 并 且 为 了 安全 起 见 ， 我 们 将 这 个 系统 本 地 用 户 设置 
为 不 允许 登录 FTP 服务 需 ， 这 不 会 影响 虚拟 用 户 登 录 ， 而 且 还 可 以 避免 黑客 通过 这 个 系统 本 









































地 用 户 进行 登录 。 





[root@linuxprobe ~]# useradd -dd /var/ftproot -s /sbin/nologin virtual 
[root@linuxprobe ~]# ls -ld /var/ftproot/ 

drwx—-—-- 一 一 . 3 virtual virtual 74 Jul 14 17:50 /var/ftproot/ 
[root@linuxprobe ~]# chmod -RE 755 /var/ftproot/ 





第 3 步 : 建立 用 于 支持 虚拟 用 户 的 PAM 文件 。 














PAM ( 可 持 拔 认证 模块 ) 是 一 种 认证 机 制 ， 通 过 一 些 动态 链接 库 和 统一 的 API 把 系统 提 








供 的 服务 与 认证 方式 分 开 , 使 得 系统 管理 员 可 以 根据 需求 灵活 调整 服务 程序 的 不 同 认 证 方式 。 
要 想 把 PAM 功能 和 作用 完全 讲 透 , 至 少 要 一 个 章节 的 篇 幅 才 可 以 (对 该 主题 感 兴趣 的 读者 敬 























请 关注 本 书 的 进 阶 篇 ， 里 面 会 详细 讲解 PAM )。 
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通俗 来 计 ，PAM 是 一 组 安全 机 制 的 模块 ,系统 管理 员 可 以 用 来 轻易 地 调整 服务 程序 的 认 


证 方式 , 而 不 必 对 应 用 程序 进行 任何 修改 。PAM 采取 了 分 层 设 计 (应 用 程序 层 、 应 用 接口 层 、 
鉴别 模块 层 ) 的 思想 ， 其 结构 如 图 11-2 所 示 。 





， 应 用 程序 层 


应 用 接口 层 


- 0 








图 11-2 PAM 的 分 层 设计 结构 





新 建 一 个 用 于 虚拟 用 户 认 证 的 PAM 文件 vsftpd.vu， 其 中 PAM 文件 内 的 “db=” 参 数 为 
使 用 db_load 命令 生成 的 账户 密码 数据 库 文 件 的 路 径 ， 但 不 用 写 数 据 库 文件 的 后 缀 : 











[root@linuxprobe ~]# vim /etc/pam.d/vsftpd.vu 


auth required pam userdb.so db=/etc/vsftpd/vuser 


account required pam userdb.so db=/etc/vsftpd/vuser 





第 4 步 : 在 vsftpd 服务 程序 的 主 配 置 文件 中 通 























过 pam_service_name 参数 将 PAM 认证 











文件 的 名 称 修改 为 vsftpd.vu，PAM 作为 应 用 程序 层 与 鉴别 模块 层 的 连接 纽带 ， 可 以 让 应 用 程 























序 根据 需求 灵活 地 在 自身 插入 所 需 的 鉴别 功能 模块 。 当 应 用 程序 需要 PAM 认证 时 , 则 需要 在 
应 用 程序 中 定义 负责 认证 的 PAM 配置 文件 ， 实 现 所 需 的 认证 功能 。 


例如 ， 在 vsftpd 服务 程序 的 主 丁 














a 置 文件 中 默认 就 带 有 参数 pam_service_name=vsftpd， 表 
示 登 录 FTP 服务 器 时 是 根据 /etc/pam.d/vsftpd 文件 进行 安全 认证 的 。 现 在 我 们 要 做 的 就 是 把 

















vsftpd 主 配置 文件 中 原 有 的 PAM 认证 文件 vsftpd 修改 为 新 建 的 vsftpd.vu 文件 即 可 。 该 操作 中 






























































用 到 的 参数 以 及 作用 如 表 11-4 所 示 。 
表 11-4 利用 PAM 文件 进行 认证 时 使 用 的 参数 以 及 作用 
参数 作用 

anonymous_enable=NO 禁止 匿名 开放 模式 

local enable=YES 允许 本 地 用 户 模式 

guest enable=YES 开启 虚拟 用 户 模 式 

guest username=virtual 指定 虚拟 用 户 账户 

pam service name=vsftpd.vu | 指定 PAM 文件 

allow writeable chroot=YES | 人 允许 对 禁 钢 的 FIP 根 目录 执行 写 信 操作， 而 上 且 不 拒绝 用 户 的 登录 请 求 
































[root@linuxprobe ~]# vim /etc/vsftpd/vsftpd.conf 


1 anonymous_ enable=NO 
2 local enable=YES 
3 guest enable=YES 
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4 guest username=virtual 

5 allow writeable chroot=YES 
6 write enable=YES 

7 local umask=022 

8 dirmessage enable=YES 

9 xferlog enable=YES 

10 connect from port 20=YES 
11 xferlog std format=YES 

12 listen=NO 

13 listen ipv6=YES 

14 pam service name=vsftpd.vu 
15 userlist enable=YES 

16 tcp wrappers=YES 




















第 5 步 : 为 虚拟 用 户 设置 不 同 的 权限 。 虽 然 账户 zhangsan 和 lisi 都 是 用 于 vsftpd 服务 程 
序 认 证 的 虚拟 账户 ， 但 是 我 们 依然 想 对 这 两 人 进行 区 别 对 待 。 比 如 ， 人 允许 张 三 上 传 、 创 建 、 
修改 、 查 看 、 删 除 文件 ， 只 允许 李 四 查 看 文件 。 这 可 以 通过 vsftpd 服务 程序 来 实现 。 只 需 新 
建 一 个 目录 ， 在 里 面 分 别 创建 两 个 以 zhangsan 和 lisi 命名 的 文件 ， 其 中 在 名 为 zhangsan 的 文 
件 中 写 入 允许 的 相关 权限 ( 使 用 匿名 用 户 的 参数 ): 


[root@linuxprobe ~]# mkdir /etc/vsftpd/vusers dir/ 
































[root@linuxprobe ~]# cd /etc/vsftpd/vusers dir/ 
[root@linuxprobe vusers dir]# touch lisi 
[root@linuxprobe vusers dir]# vim zhangsan 

anon upload enable=YES 

anon mkdir write enable=YES 

anon other write enable=YES 
































然后 再 次 修改 vsftpd 主 配 置 文件 ， 通 过 添加 user_config_dir 参数 来 定义 这 两 个 虚拟 用 户 
不 同 权限 的 配置 文件 所 存放 的 路 径 。 为 了 让 修改 后 的 参数 立即 生效 ， 需 要 重启 vsftpd 服务 程 
序 并 将 该 服务 添加 到 开机 启动 项 中 : 

















[root@linuxprobe ~]# vim /etc/vsftpd/vsftpd.conf 
anonymous_ enable=NO 

local enable=YES 

guest enable=YES 

guest username=virtual 

allow writeable chroot=YES 

write enable=YES 

local umask=022 

dirmessage enable=YES 

xferlog enable=YES 

connect from port 20=YES 
xferlog std format=YES 

listen=NO 

listen ipv6=YES 

pam service name=vsftpd.vu 

userlist enable=YES 

tcp_wrappers=YES 

user config dir=/etc/vsftpd/vusers dir 
[root@linuxprobe ~]# systemctl1 restart vsftpd 
[root@linuxprobe ~]# systemctl1 enable vsftpd 
ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/systemd/system/multi— 
user.target .wants/vsftpd.service 





228 


11.2 vsftpd 服务 程序 








第 6 步 : 设置 SELinux 域 允许 策略 ,然后 使 用 虚拟 用 户 模式 登录 FTP 服务 器 。 相 信 大 家 
可 以 猜 到 ，SELinux 会 继续 来 捣乱 。 所 以 ， 先 按照 前 面 实验 中 的 步骤 开启 SELinux 域 的 允许 
策略 ， 以 免 再 次 出 现 操作 失败 的 情况 : 








[root@linuxprobe ~]# getsebool -a grep ftp 
ftp home dir -> off 

ftpd anon write -> off 

ftpd connect all unreserved -> off 

ftpd connect db -> off 

ftpd full access -> off 

ftpd use cifs -> off 

ftpqd use fusefs -> off 

ftpd use nfs -> off 

ftpd use passive mode -> off 

httpd can connect ftp 二 > Of 

httpd enable ftp server -> off 
sftpd anon write -> off 

sftpd enable homedirs -> off 
sftpd full access -> off 

sftpd write ssh home -> off 

tftp anon write -> off 

tftp home dir -> off 

[root@linuxprobe ~]# setsebool -P ftpd full access=on 














此 时 ,不 但 可 以 使 用 虚拟 用 户 模式 成 功 登录 到 FTP 服务 器 ,还 可 以 分 别 使 用 账户 zhangsan 
和 lisi 来 检验 他 们 的 权限 。 当 然 , 读者 在 生产 环境 中 一 定 要 根据 真实 需求 来 灵活 配置 参数 , 不 
要 照搬 这 里 的 实验 操作 。 


[root@linuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10) . 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): lisi 

331 Please specify the password. 
Password: 此 处 输入 虚拟 用 户 的 密码 


230 Login successful. 

















Remote system type is UNIX. 

Using binary mode to transfer files. 
ftp> mkdir files 

550 Permission denied. 

ftp> exit 

221 Goodbye. 


[root@linuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root) : zhangsan 
331 Please specify the password. 
Password: 此 处 输入 虚拟 用 户 的 密码 

230 Login successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 
ftp> mkdir files 

257 "/files" created 

ftp> rename files database 

350 Ready for RNTO. 
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250 Rename successful. 

ftp> rmdir database 

250 Remove directory operation successful. 
ftp> exit 

221 Goodbye. 





11.3 ”简单 文件 传输 协议 




















简单 文件 传输 协议 ( Trivial File Transfer Protocol，TFTP ) 是 一 种 基于 UDP 协议 在 客户 端 
和 服务 器 之 间 进 行 简单 文件 传输 的 协议 。 顾 名 思 义 ， 它 提供 不 复杂 、 开 销 不 大 的 文件 传输 服 


务 (可 将 其 当 作 FTP 协议 的 简化 版 本 )。 








TFTP 的 命令 功能 不 如 FTP 服务 强大 , 甚至 不 能 遍历 目录 , 在 安全 性 方面 也 能 了 








服务 。 而 且 ， 由 于 TFTP 在 传输 文件 时 采用 的 是 UDP 协议 ， 占 用 的 端口 号 为 69， 


F FTP 
此 


文件 的 传输 过 程 也 不 像 FTP 协议 那样 可 靠 。 但是, 因为 TFTP 不 需要 客户 端的 权限 认证 ， 





也 就 减少 了 无 谓 的 系统 和 网 络 带宽 消耗 ， 因 此 在 传输 琐碎 (trivial ) 不 大 的 文件 时 ， 
更 高 。 


接 下 来 在 系统 上 安装 TFTP 的 软件 包 ， 进 行 体验 。 





效率 





root@linuxprobe ~]# yum install tftp-server tftp 

Loaded plugins: langpacks, product-id, subscription-manager 
ee 省 略 部 分 输出 信息 

Installing: 

tftp x86 64 5.2-11.el7 rhel 35 k 

tftp-server x86 64 5.2-11.el7 rhel 44 k 

Installing for dependencies: 

xinetd x86 64 2:2.3.15-12.el7 rhel 128 k 


Transaction Summary 














Install 2 Packages (+1 Dependent package) 
Total download size: 207 k 

Installed size: 373 k 

Is this ok [y/d/N]: y 

Downloading packages: 

nee 省 略 部 分 输出 信息 

Installed: 

tftp.x86 64 0:5.2-11.e17 tftp-server.x86 64 0:5.2-11.el7 
Dependency Installed: 

xinetd.x86 64 2:2.3.15-12.el7 

Complete! 














在 RHEL7 系统 中 , TFTP 服务 是 使 用 xinetd 服务 程序 来 管理 的 。xinetd 服务 可 以 用 来 管理 








多 种 轻 量 级 的 网 络 服务 ， 而 且 具 有 强大 的 日 志 功 能 。 简 单 来 说 ， 在 安装 TFTP 软件 包 后 ， 
要 在 xinetd 服务 程序 中 将 其 开启 ， 把 默认 的 禁用 ( disable ) 参数 修改 为 no: 











[root@linuxprobe ~.d]# vim /etc/xinetd.d/tftp 
service tftp 
{ 
socket type = dgram 
protocol = udp 
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wait = yes 

区 i 

server = /usr/sbin/in.tftpd 
server args = -S /var/lib/tftpboot 
disable = no 

per_source = 11 

Sps = 100 2 

flags = IPv4 





然后 ， 重 启 xinetd 服务 并 将 它 添加 到 系统 的 开机 启动 项 中 ， 以 确保 TFTP 服务 在 系统 重 








启 后 依然 处 于 运行 状态 。 考 虑 到 有 些 系统 的 防火 墙 默认 没有 人 允许 UDP 协议 的 69 端口 ， 因 此 
向 











要 手动 将 该 端口 号 加 入 到 防火 墙 的 允许 策略 中 : 








[root@linuxprobe 
[root@linuxprobe 
[root@linuxprobe 
success 
[root@linuxprobe 
success 


]# systemctl1 restart xinetd 
]# systemctl enable xinetd 
]# firewall-cmd --permanent --add-port=69/udp 


]# firewall-cmd --reload 








TFTP 的 根 目录 为 /var/ib/tftpboot。 我 们 可 以 使 用 刚 安装 好 的 tftp 命令 尝试 访问 其 中 的 文 
件 ， 亲 身体 验 TFTP 服务 的 文件 传输 过 程 。 在 使 用 tftp 命令 访问 文件 时 ， 可 能 会 用 到 表 11-5 










































































中 的 参数 。 
表 11-5 tftp 命令 中 可 用 的 参数 以 及 作用 
命令 作用 
? 帮助 信息 
put 上 传 文件 
get 下 载 文 件 
verbose 显示 详细 的 处 理 信息 
status 显示 当前 的 状态 信息 
binary 使 用 二 进 制 进行 传输 
ascii 使 用 ASCII 码 进行 传输 
timeout 设置 重 传 的 超时 时 间 
quit 退出 
root@linuxprobe ~]# echo "i love linux" > /var/lib/tftpboot/readme.txt 
root@linuxprobe ~]# tftp 192.168.10.10 
tftp> get readme.txt 
tftp> quit 
root@linuxprobe ~]# ls 


anaconda-ks.cfg 
Desktop 





root@linuxprobe 


i love linux 


Documents initial-setup-ks.cfg Pictures readme.txt Videos 
Downloads Music Public Templates 





# cat readme.txt 














当然 ，TFTP 服务 的 玩法 还 不 止 于 此 ， 第 19 章 会 将 TFTP 服务 与 其 他 软件 相 搭配 ， 组 合 





套 完整 的 自动 化 部 署 系 统 方案 。 大 家 继续 加 油 ! 
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| 复习 题 





1 . 
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， 简 述 PAM 的 功能 作用 。 


简 述 FTP 协议 的 功能 作用 以 及 所 占用 的 端口 号 。 

答 : FTP 是 一 种 在 互联 网 中 进行 文件 传输 的 协议 ， 默 认 使 用 20、21 号 端口 ， 其 中 端口 20 
(数据 端口 ) 用 于 进行 数据 传输 ， 端 口 21 (命令 端口 ) 用 于 接受 客户 端 发 起 的 相关 FTP 命 
令 与 参数 。 








. vsftpd 服务 程序 提供 的 三 种 用 户 认 证 模式 各 自 有 什么 特点 ? 





答 : 匿名 开放 模式 是 任何 人 都 可 以 无 需 密码 认证 即 可 直接 登录 到 FTP 服务 器 的 验证 方式 ; 
本 地 用 户 模 式 是 通过 系统 本 地 的 账户 密码 信息 登录 到 FTP 服务 器 的 认证 方式 ;虚拟 用 户 
模式 是 通过 创建 独立 的 FIP 用户 数据 库 文件 来 进行 认证 并 登录 到 FTP 服务 咒 的 认证 方式 ， 
相 较 来 说 它 也 是 最 安全 的 认证 模式 。 




































































. 使 用 匿名 开放 模式 登录 到 一 台 用 vsftpd 服务 程序 部 署 的 FTP 服务 器 上 时 ， 默 认 的 FTP 根 

















目录 是 什么 ? 
答 : 使 用 匿名 开放 模式 登录 后 的 FTP 根 目录 是 /var/ftp 目录 ,该 目录 内 默认 还 会 有 一 个 名 
为 pub 的 子 目录 。 





等 


已 


PAM 是 一 组 安全 机 制 的 模块 (插件 )， 系 统管 理 员 可 以 用 来 轻易 地 调整 服务 程序 的 认 
证 方式 ， 而 不 必 对 应 用 程序 进行 过 多 修改 。 











.使 用 虚拟 用 户 模式 登录 FTP 服务 器 的 所 有 用 户 的 权限 都 是 一 样 的 吗 ? 




















答 : 不 一 定 ， 可 以 通过 分 别 定义 用 户 权 限 文 件 来 为 每 一 位 用 户 设置 不 同 的 权限 。 


.TFTP 协议 与 FTP 协议 有 什么 不 同 ? 


答 : TFTP 协议 提供 不 复杂 、 开 销 不 大 的 文件 传输 服务 ( 可 将 其 当 作 FTP 协议 的 简化 版 本 )。 
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使 用 Samba 或 NFS 实现 文件 共享 


本 章 讲解 了 如 下 内 容 : 


> Samba 文件 共享 服务 ; 
> NFS ( 网 络 文件 系统 ); 
> autofs 自动 挂 载 服务 。 


本 章 首先 通过 比较 文件 传输 和 文件 共享 这 两 种 资源 交换 方式 来 引入 Samba 服务 的 理 
论 知 识 ， 并 介绍 SMB 协议 与 Samba 服务 程序 的 起 源 和 发 展 过 程 。 然 后 通过 实验 的 方式 
部 署 文件 共享 服务 来 深入 了 解 Samba 服务 中 相关 参数 的 作用 ， 并 在 实验 最 后 分 别 使 用 
Windows 系统 和 Linux 系统 访问 共享 的 文件 资源 ， 确 保 读 者 彻底 掌握 文件 共享 服务 的 配 
置 方法 

本 章 还 讲解 了 如 何 配置 网 络 文件 系统 ( Network File System，NEFS ) 服务 来 简化 Linux 系 
统 之 间 的 文件 共享 工作 ， 以 及 通过 部 署 NFS 服务 在 多 台 Linux 系统 之 间 挂 载 并 使 用 资源 。 在 
管理 设备 挂 载 信息 时 ， 使 用 autofs 服务 不 仅 可 以 正常 满足 设备 挂 载 的 使 用 需求 ， 还 能 进一步 
提高 服务 器 硬件 资源 和 网 络 带 宽 的 利用 率 。 

刘 造 老师 相信 ， 当 各 位 读者 认真 学 习 完 本 章 内 容 之 后 ， 一 定 会 深刻 理解 在 Linux 系统 之 
间 共 享 文件 资源 以 及 在 Linux 系统 与 Windows 系统 之 间 共 享 文件 资源 的 工作 机 制 ， 并 彻底 掌 
握 相 应 的 配置 方法 。 




























































































12.1 Samba 文件 共享 服务 

















上 一 章 讲解 的 FTP 文件 传输 服务 确实 可 以 让 主机 之 间 的 文件 传输 变 得 简单 方便 ， 但 是 
FTP 协议 的 本 质 是 传输 文件 ， 而 非 共 享 文件 ， 因 此 要 想 通 过 客户 端 直接 在 服务 器 上 修改 文件 
内 容 还 是 一 件 比 较 麻烦 的 事情 。 

1987 年 ， 微 软 公司 和 英特尔 公司 共同 制定 了 SMB ( Server Messages Block ， 服 务 器 消息 
块 ) 协议 ， 旨 在 解决 局 域 网 内 的 文件 或 打印 机 等 资源 的 共享 问题 ， 这 也 使 得 在 多 个 主机 之 间 
共享 文件 变 得 越 来 越 简单 。 到 了 1991 年 ， 当 时 还 在 读 大 学 的 Tridgwell 为 了 解决 Linux 系统 
与 Windows 系统 之 间 的 文件 共享 问题 ， 基 于 SMB 协议 开发 出 了 SMBServer 服务 程序 。 这 是 
一 款 开源 的 文件 共享 软件 ， 经 过 简单 配置 就 能 够 实现 Linux 系统 与 Windows 系统 之 间 的 文件 
共享 工作 。 当 时 ，Tridgwell 想 把 这 款 软件 的 名 字 SMBServer 注册 成 为 商标 ， 但 却 被 商标 局 以 
SMB 是 没有 意义 的 字符 而 拒绝 了 申请 。 后 来 Tridgwell 不 断 翻 看 词典 ， 突 然 看 到 一 个 拉丁 舞 
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蹈 的 名 字 








Samba， 而 且 这 个 热情 洋溢 的 舞 中 名 字 中 又 恰好 包含 了 “SMB”, 于 是 Samba 服 





务 程序 的 名 字 由 此 诞生 ( 见 图 12-1 )。Samba 服务 程序 现在 已 经 成 为 在 Linux 系统 与 Windows 
系统 之 间 共 享 文件 的 最 佳 选择 。 








图 12-1 Samba 服务 程序 的 logo 
Samba 服务 程序 的 配置 方法 与 之 前 讲解 的 很 多 服务 的 配置 方法 类 似 ， 首 先 需 要 先 通 过 








Yum 软件 仓库 来 安装 Samba 服务 程序 ( Samba 服务 程序 的 名 字 也 恰巧 是 软件 包 的 名 字 ): 





root@linuxprobe ~ ]# yum install samba 

Loaded Plugins: langpacks, product-id, subscription-manager 
a 省 略 部 分 输出 信息 

Installing: 

samba x86 64 4.1.1-31.e17 rhel 527 k 


Transaction Summary 














Install 1 Package 

Total download size: 527 k 
Installed size: 1.5 M 

Is this ok [y/d/N]: y 
Downloading packages: 





Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 
Installing : Samba-4.1.1-31.e17.x86 64 1/1 
Verifying : samba-4.1.1-31.e17.x86 64 1/1 
Installed: 
samba.x86 64 0:4.1.1-31.el7 
Complete! 





安装 完毕 后 打开 Samba 服务 程序 的 主 配 置 文件 ,发 现 竟然 有 320 行 之 多 ! 有 没有 被 吓 到 ? 





但 仔细 一 看 就 会 发 现 ， 其 实 大 多 数 都 是 以 井 号 (#) 开头 的 注释 信息 行 。 有 刘 廊 老师 在 ， 肯 定 

















是 不 


会 让 大 家 去 “ 死 哺 ” 这 些 内 容 的 。 
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root@linuxprobe ~]# cat /etc/samba/smb.conf 

This is the main Samba configuration file. For detailed information about the 
options listed here, refer to the smb.conf(5) manual page. Samba has a huge 
number of configurable options, most of which are not shown in this example. 


The Official Samba 3.2.x HOWTO and Reference Guide contains step-by-step 
guides for installing, configuring, and using Samba: 


http://www.samba.org/samba/docs/Samba-HOWTO-Collection.pdf 


The Samba-3 by Example guide has working examples for smb.conf. This guide is 








generated daily: http://www.samba.org/samba/docs/Samba-Guide.pdf 


In this file, 


comments and are ignored. 


lines starting with 


semicolons for parts of the file 


Note: 


syntax errors. 





ee 省 略 部 分 输出 信 





Bnavonen 
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a semicolon (;) or a hash (#) are 


you may wish to configure. 


This file uses hashes to denote commentary and 


Run the "testparm" command after modifying this file to check for basic 




















由 于 在 Samba 服务 程序 的 主 配置 文件 








中 ， 注 释 信 ， 











筷 行 实在 太 多 ， 不 便于 分 析 里 面 的 


重要 参数 ， 因 此 先 把 主 配置 文件 改 个 名 字 ， 然 后 使 用 cat 命令 读 入 主 配置 文件 ， 青 在 grep 


命令 后 面 添加 -v 参数 ( 反 
息 行 , 对 于 剩余 的 空白 行 可 



































向 选择 )， 分 别 去 掉 所 有 以 井 号 〈# ) 和 分 号 〈; ) 开头 的 注释 信 
以 使 用 ^$ 参 数 来 表示 并 进行 反选 过 滤 ， 最 后 把 过 滤 后 的 可 用 参 


































































































































































































数 信 息 通过 重 定向 符 覆 盖 写 人 到 原始 文件 名 称 中 。 执 行 过 滤 后 剩 下 的 Samba 服务 程序 的 

参数 并 不 复杂 ， 为 了 更 方便 读者 查阅 参数 的 功能 ， 表 12-1 罗列 了 这 些 参数 以 及 相应 的 注 

释 说 明 。 

表 12-1 Samba 服务 程序 中 的 参数 以 及 作用 
[global] 参数 作用 
workgroup = MYGROUP # 工 作 组 名 称 
semver shing Sampa Server | 和 服务 器 介绍 信息 ， 参 数 %v 为 显示 SMB 版 本 号 
Version %v 
log file = /var/log/samba/log.%m 0 a 
来 访 的 主机 名 
max log size = 50 # 定 义 日 志文 件 的 最 大 容量 为 50KB 
security = user # 安 全 验证 的 方式 ， 总 共有 4 种 
#share: 来 访 主机 无 需 验证 口令 ; 比较 方便 ,但 安全 性 很 差 
#user: 需 验证 来 访 主机 提供 的 口令 后 才 可 以 访问 ; 提升 了 安全 性 
#server: 使 用 独立 的 远程 主机 验证 来 访 主机 提供 的 口令 (集中 管理 账户 ) 
#domain: 使 用 域 控制 器 进行 身份 验证 
passdb backend = tdbsam # 定 义 用 户 后 台 的 类 型 ， 共 有 3 种 
#smbpasswd: 使 用 smbpasswd 命令 为 系统 用 户 设置 Samba 服务 程序 的 密码 
#tdbsam: 创建 数据 库 文件 并 使 用 pdbedit 命令 建立 Samba 服务 程序 的 用 户 
#ldapsam: 基于 LDAP 服务 进行 账户 验证 
load printers = yes # 设 置 在 Samba 服务 启动 时 是 否 共享 打印 机 设备 
cups options = raw # 打 印 机 的 选项 
[homes] # 共 享 参 数 
comment = Home Directories 相 省 述 信息 
browseable = no # 指 定 共享 信息 是 否 在 “网 上 邻居 ”中 可 见 
pe # 定 义 是 否 可 以 执行 写 人 操作 ， 与 “read only” 
相反 
[printers] # 打 印 机 共享 参数 
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[root@linuxprobe ~]# mv /etc/samba/smb.conf /etc/samba/smb .conf.bak 


[root@linuxprobe ~]# cat /etc/samba/smb.conf.bak | 
"| grep -v "^S$" > /etc/samba/smb.conf 
[root@linuxprobe ~]# cat /etc/samba/smb.conf 


grep -Vv "#" | grep -Vv "; 





12.1.1 配置 共享 资源 



















































































Samba 服务 程序 的 主 配置 文件 与 前 面 学 习 过 的 Apache 服务 很 相似 , 包括 全 局 配置 参数 和 
区 域 配置 参数 。 全 局 配置 参数 用 于 设置 整体 的 资源 共享 环境 ， 对 里 面 的 每 一 个 独立 的 共享 资 
源 都 有 效 。 区 域 配置 参数 则 用 于 设置 单独 的 共享 资源 ， 且 仅 对 该 资源 有 效 。 创 建 共 享 资源 的 
方法 很 简单 ， 只 要 将 表 12-2 中 的 参数 写 人 到 Samba 服务 程序 的 主 配置 文件 中 , 然后 重启 该 服 
务 即 可 。 
表 12-2 用 于 设置 Samba 服务 程序 的 参数 以 及 作用 
参数 作用 
[database] 共享 名 称 为 database 
comment = Do not arbitrarily modify the database file | 警告 用 户 不 要 随意 修改 数据 库 
path = /home/database 共享 目录 为 /home/database 
public = no 关闭 “所 有 人 可 见 ” 
writable = yes 允许 写 人 操作 


一 
三 


第 1 步 : 创建 用 于 访问 共享 
使 用 的 是 用 户口 令 认证 模式 〈user )。 这 种 认 订 














资源 的 账户 信息 。 在 RHEL 7 系统 中 ，Samba 服务 程序 默认 
FE 模式 可 以 确保 仅 让 有 密码 且 受 信任 的 月 





日 户 访问 

















共享 资源 ， 而 且 验 证 过 程 也 十 分 简单 。 不 过 ， 
口令 认证 模式 。 另 外 ，Samba 服务 程 
日 后 创建 文件 时 将 导致 文件 的 权限 属 怕 

pdbedit 命令 用 于 管理 SMB 服务 程序 的 账户 信 
































只 有 建立 账户 信息 数据 库 之 后 ， 才 能 作 
序 的 数据 库 要 求 账户 必须 在 当前 系统 中 已 经 存在 ， 否 则 
混乱 不 堪 ， 由 此 引发 错误 。 

息 数 据 库 , 格式 为 “pdbedit [选项 ] 账户 ”。 


用 用 户 





在 第 一 次 把 账户 信息 写 人 到 数据 库 时 需要 使 用 -a 参数 ， 以 后 在 执行 修改 密码 、 删 除 账户 等 操 





作 时 就 不 再 需要 该 参数 了 。pdbedit 命令 中 使 月 





日 的 参数 以 及 作用 如 表 12-3 所 示 。 



















































































表 12-3 用 于 pdbedit 命令 的 参数 以 及 作用 
参数 作用 
a 用 户 名 建立 Samba 账户 
x 用 户 名 删除 Samba 账户 
一 列 出 账户 列表 
-Lv 列 出 账户 详细 信息 的 列表 
[rootelinuxprobe ~]# id linuxprobe 


uid=1000 (linuxprobe) gid=1000 (linuxprobe) groups=1000 
[root@linuxprobe ~]# pdbedit -a -u linuxprobe 

new password: 此 处 输入 该 账户 在 samba 服务 数据 库 中 的 密码 
retype new password: 再 次 输入 密码 进行 确认 
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Unix username: linuxprobe 

NT username: 

Account Flags: 

User SID: S-1-5-21-507407404-3243012849-3065158664-1000 
Primary Group SID: S-1-5-21-507407404-3243012849-3065158664-513 
Full Name: linuxprobe 

Home Directory: \\localhost\linuxprobe 

HomeDir Drive: 

Logon Script: 

Profile Path: \\localhost\linuxprobe\profile 

Domain: LOCALHOST 

Account desc: 





Workstations: 

Munged dial: 

Logon time: 0 

Logoff time: Wed, 06 Feb 2036 10:06:39 EST 

Kickoff time: Wed, 06 Feb 2036 10:06:39 EST 
Password last set: Mon, 13 Mar 2017 04:22:25 EDT 
Password can change: Mon, 13 Mar 2017 04:22:25 EDT 
Password must change: never 

Last bad password : 0 

Bad password count : 0 

Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF 











第 2 步 : 创建 用 于 共享 资源 的 文件 目录 。 在 创建 时 , 不 仅 要 考虑 到 文件 读 写 权 限 的 问题 ， 
而 且 由 于 /home 目录 是 系统 中 普通 用 户 的 家 目录 ， 因 此 还 需要 考虑 应 用 于 该 目录 的 SELinux 安全 
上 下 文 所 带 来 的 限制 。 在 前 面 对 Samba 服务 程序 配置 文件 中 的 注释 信息 进行 过 滤 时 ， 这 些 过 
滤 的 信息 中 就 有 关于 SELinux 安全 上 下 文 策略 的 说 明 ,我 们 只 需 按 照 过 滤 信 息 中 有 关 SELinux 
安全 上 下 文 策略 中 的 说 明 中 给 的 值 进行 修改 即 可 。 修改 完毕 后 执行 restorecon 命令 , 让 应 用 于 
目录 的 新 SELinux 安全 上 下 文 立即 生效 。 






































[root@linuxprobe ~]# mkdir /home/database 

[root@linuxprobe ~]# chown -RE linuxprobe:linuxprobe /home/database 
[root@linuxprobe ~]# semanage fcontext -a -t samba share 七 /home/database 
[root@linuxprobe ~]# restorecon -RV /home/database 

restorecon reset /home/database context unconfined u:object r:home root t:s0-> 


unconfined u:object r:samba share t:s0 








第 3 步 :设置 SELinux 服务 与 策略 , 使 其 允许 通过 Samba 服务 程序 访问 普通 用 户 家 目录 。 
执行 getsebool 命令 ,筛选 出 所 有 与 Samba 服务 程序 相关 的 SELinux 域 策略 , 根据 策略 的 名 称 
( 和 经 验 ) 选择 出 正确 的 策略 条 目 进 行 开启 即 可 : 








[root@linuxprobe ~]# getsebool -a | grep samba 
samba create home dirs --> off 
samba domain controller --> off 
samba enable home dirs --> off 
samba export all ro --> off 
samba export all rw --> off 
samba portmapper --> off 

samba run unconfined --> off 
samba share fusefs --> off 
samba share nfs --> off 
sanlock use samba --> off 

use samba home dirs --> off 
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Virt sandbox use samba --> off 
Virt use samba --> off 


[root@linuxprobe ~]# setsebool -P samba enable home dirs on 








第 4 步 : 在 Samba 服务 程序 的 主 配置 文件 中 ， 根 据 表 12-2 所 提 到 的 格式 写 人 共享 信息 。 
在 原始 的 配置 文件 中 ，[homes] 参 数 为 来 访 用 户 的 家 目录 共享 信息 ，[printers] 参 数 为 共享 的 打 
印 机 设备 。 这 两 项 如 果 在 今后 的 工作 中 不 需要 ， 可 以 像 刘 遂 老师 一 样 手 动 删除 ， 这 没有 任何 
问题 。 

















[root@linuxprobe ~]# vim /etc/samba/smb.conf 
[globall] 
workgroup = MYGROUP 
server string = Samba Server Version %vV 


log file = /var/log/samba/log.%m 


security = user 


4 

2 

3 

4 

5 max log size = 50 
6 

7 passdb backend = tdbsam 
8 
9 


load printers = yes 
cups options = raw 
10 [databasel] 


11 comment = Do not arbitrarily modify the database file 
12 path = /home/database 

13 public = no 

14 writable = yes 





第 5 步 : Samba 服务 程序 的 配置 工作 基本 完毕 。 接 下 来 重启 smb 服务 ( Samba 服务 程序 
在 Linux 系统 中 的 名 字 为 smb ) 并 清空 iptables 防火 墙 ， 然 后 就 可 以 检验 配置 效果 了 。 











[root@linuxprobe ~]# Systemct1 restart smb 
[root@linuxprobe ~]# systemctl1 enable smb 
ln -s '/usr/lib/systemd/system/smb.service' '/etc/systemd/system/multi-user. 


target .wants/smb.service' 

[root@linuxprobe ~]# iptables -F 

[root@linuxprobe ~]# service iptables save 

iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK | 





12.1.2 ”Windows 访问 文件 共享 服务 























无 论 Samba 共享 服务 是 部 署 Windows 系统 上 还 是 部 署 在 Linux 系统 上 ， 通 过 Windows 
系统 进行 访问 时 , 其 步骤 和 方法 都 是 一 样 的 。 下 面 假设 Samba 共享 服务 部 署 在 Linux 系统 上 
并 通过 Windows 系统 来 访问 Samba 服务 。Samba 共享 服务 器 和 Windows 客户 端的 卫 地 址 可 
以 根据 表 12-4 来 设置 。 


表 12-4 Samba 服务 器 和 Windows 客户 端 使 用 的 操作 系统 以 及 IP 地 址 


主机 名 称 操作 系统 IP 地 址 
Samba 共享 服务 央 RHEL7 192.168.10.10 
Windows 客户 端 Windows 7 192.168.10.30 



































要 在 Windows 系统 中 访问 共享 资源 ， 只 需 在 Windows 的 “运行 ”命令 框 中 输入 两 个 反 斜 
枉 ， 然 后 再 加 服务 器 的 IP 地 址 即 可 ， 如 图 12-2 所 示 。 
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画 \\192.168.10.10 





外 查看 更 多 结果 





[W192.168.10.10 


Ee 7 a 


图 12-2 在 Windows 系统 中 访问 共享 资源 

















如 果 已 经 清空 了 Linux 系统 上 iptables 防火 墙 的 默认 策略 ( 即 执行 iptables -F 命令 )， 现 
在 就 应 该 能 看 到 Samba 共享 服务 的 登录 界面 了 。 刘 六 老 师 在 这 里 先 使 用 linuxprobe 账户 的 系 
统 本 地 密码 尝试 登录 ， 结 果 出 现 了 如 图 12-3 所 示 的 报错 信息 。 由 此 可 以 验证 , 在 RHEL 7 系 
统 中 ，Samba 服务 程序 使 用 的 果然 是 独立 的 账户 信息 数据 库 。 所 以 ， 即 便 在 Linux 系统 中 有 
一 个 linuxprobe 账户 ，Samba 服务 程序 使 用 的 账户 信息 数据 库 中 也 有 一 个 同名 的 linuxprobe 
账户 ， 大 家 也 一 定 要 弄 清楚 它们 各 自 所 对 应 的 密码 。 




















Windows 安全 





输入 网 络 密码 
输入 您 的 密码 来 连接 到 : 192.168.10.10 


用 户 名 








域 : WIN-SNIQ3DUMJHD 
记 住 我 的 凭据 








图 登录 失败 : 未 知 的 用 户 名 或 错误 密码 。 


Lns |[ ws | 





























图 12-3 访问 Samba 共享 服务 时 ， 提 示 出 错 


正确 输入 linuxprobe 账户 名 以 及 使 用 pdbedit 命令 设置 的 密码 后 ， 就 可 以 登录 到 共享 界 
面 中 了 ， 如 图 12-4 所 示 。 此 时 ， 我 们 可 以 尝试 执行 查看 、 写 人 、 更 名 、 删 除 文件 等 操作 。 
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GO ， 网 络 192.168.10.10 》database | 好 || 关于 database p| 
组 织 ” ” 己 打 开 v 打印 ”刻录 新 疆 文 件 夫 EN 少 
入 收藏 夫 

四 下 载 
园 寺 硬 - 
司 最 丘 访 问 的 位 轩 J 
文件 ( 明 ”编辑 (E) 格式 (O) ”查看 (V) ”帮助 (H) 
洒 库 i can edit it .| 
国 视频 
国 图 片 
国 文档 
a| 言 乐 
图 计算 机 
铺 网 络 
Memo ”修改 日 期 
文本 文档 。 ”大 小 : 15 字 节 














图 12-4 ”成功 访问 Samba 共享 服务 
由 于 Windows 系统 的 缓存 原因 ， 有 可 能 您 在 第 二 次 登录 时 提供 了 正确 的 账户 和 密码 ， 依 
然 会 报错 , 这 时 只 需要 重新 启动 一 下 Windows 客户 端 就 没 问 题 了 ( 如果 Windows 系统 依然 报 
错 ， 请 检查 上 述 步骤 是 否 有 做 错 的 地 方 )。 


12.1.3 ”Linux 访问 文件 共享 服务 


上 面 的 实验 操作 可 能 会 让 各 位 读者 误 以 为 Samba 服务 程序 只 是 为 了 解决 Linux 系统 和 
Windows 系统 的 资源 共享 问题 而 设计 的 。 其 实 ，Samba 服务 程序 还 可 以 实现 Linux 系统 之 间 
的 文件 共享 。 请 各 位 读者 按照 表 12-5 来 设置 Samba 服务 程序 所 在 主机 ( 即 Samba 共享 服务 
器 ) 和 Linux 客户 端 使 用 的 卫 地 址 ,然后 在 客户 端 安装 支持 文件 共享 服务 的 软件 包 ( cifs-utils )。 


表 12-5 Samba 共享 服务 器 和 Linux 客户 端 各 自 使 用 的 操作 系统 以 及 IP 地 址 


























主机 名 称 操作 系统 IP 地 址 
Samba 共享 服务 髓 RHEL7 操作 系统 192.168.10.10 
Linux 客户 端 RHEL7 操作 系统 192.168.10.20 











[root@linuxprobe ~]# yum install cifs-utils 

Loaded plugins: langpacks, product-id, subscription-manager 
rhel | 4.1 kB 00:00 

Resolving Dependencies 

--> Running transaction Check 

---> Package cifs-utils.x86 64 0:6.2-6.el1l7 will be installed 
--> Finished Dependency Resolution 

Dependencies Resolved 








Package Arch Version Repository Size 








Installing: 
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cifs-utils x86 64 6.2-6.el17 rhel 83 k 


Transaction Summary 








Install 1 Package 
Total download size: 83 k 
Installed size: 174 k 
Is this ok [y/d/N]: y 
Downloading packages: 
Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 
Installing : cifs-utils-6.2-6.e17.x86 64 1/1 
Verifying : cifs-utils-6.2-6.e17.x86 64 1/1 
Installed: 
cifs-utils.x86 64 0:6.2-6.el17 
Complete! 


在 Linux 客户 端 ， 按照 Samba 服务 的 用 户 名 、 密 码 、 共 享 域 的 顺序 将 相关 信息 写 入 到 一 
个 认证 文件 中 。 为 了 保证 不 被 其 他 人 随意 看 到 ， 最 后 把 这 个 认证 文件 的 权限 修改 为 仅 root 管 
理 员 才 能 够 读 写 





1 











[root@linuxprobe ~]# vim auth.smb 
username=smbuser 

password=redhat 

domain=MYGROUP 

[root@linuxprobe ~]# chmod 600 auth.smb 


现在 ， 在 Linux 客户 端 上 创建 一 个 用 于 挂 载 Samba 服务 共享 资源 的 目录 ， 并 把 挂 载 信息 
写 人 到 /etc/fstab 文件 中 ， 以 确保 共享 挂 载 信 息 在 服务 器重 启 后 依然 生效 : 


root@linuxprobe ~]# mkdir /database 


























root@linuxprobe ~]# vim /etc/fstab 


/etc/fstab 
Created by anaconda on Wed May 4 19:26:23 2017 


Accessible filesystems, by reference, are maintained under '/dev/disk' 
See man pages fstab(5), findfs(8), mount (8) and/or blkid(8) for more info 








/dev/mapper/rhel-root / xfs defaults 让 
UUID=812b1f7c-8b5b-43da-8c06-b9999e0fe48b /boot xfs defaults 下 
/dev/mapper /rhel-swap swap swap defaults 0 0 
/dev/cdrom /media/cdrom iso9660 defaults 0 0 


//192.168.10.10/database /database cifs credentials=/root/auth.smb 0 0 


[root@linuxprobe ~]# mount -a 








Linux 客户 端 成 功 地 挂 载 了 Samba 服务 的 共享 资源 。 进 入 到 挂 载 目录 /database 后 就 可 以 
看 到 Windows 系统 访问 Samba 服务 程序 时 留 下 来 的 文件 了 ( 即 文件 Memo.txt )。 当 然 ， 我 们 
也 可 以 对 该 文件 进行 读 写 操作 并 保存 。 


[root@linuxprobe ~]# cat /database/Memo.txt 








i can edit it 





241 


使 用 Samba 或 NFS 实现 文件 共享 


12.2 NFS (网络 文件 系统 ) 























如 果 大 家 觉得 Samba 服务 程序 的 配置 太 麻烦 ， 而 且 恰 巧 需要 共享 文件 的 主机 都 是 Linux 
系统 ， 刘 毅 老 师 非 常 推荐 大 家 在 客户 端 部 署 NFS 服务 来 共享 文件 。NEFS ( 网 络 文件 系统 ) 服 
务 可 以 将 远程 Linux 系统 上 的 文件 共享 资源 挂 载 到 本 地 主机 的 目录 上 ， 从 而 使 得 本 地 主机 
(Linux 客户 端 ) 基于 TCP/P 协议 , 像 使 用 本 地 主机 上 的 资源 那样 读 写 远程 Linux 系统 上 的 共 
享 文件 。 

由 于 RHEL 7 系统 中 默认 已 经 安装 了 NFS 服务 ,外 加 NFS 服务 的 配置 步 又 也 很 简单 ， 
此 刘 鞍 老师 在 授课 时 会 将 NFS 戏 庄 为 Need For Speed。 接 下 来 ,我 们 准备 配置 NFS 服务 。 首 
先 请 使 用 Yum 软件 仓库 检查 自己 的 RHEL 7 系统 中 是 否 已 经 安装 了 NFS 软件 包 : 






































[root@linuxprobe ~]# yum install nfs-utils 

Loaded plugins: langpacks, product-id, subscription-manager 

(1/2): rhel7/group gz | 134 kB 00:00 

(2/2): rhel7/primary db | 3.4 MB 00:00 

Package 1l:nfs-utils-1.3.0-0.el7.x86 64 already installed and latest version 
Nothing to do 


第 1 步 : 为 了 检验 NFS 服务 配置 的 效果 ,我 们 需要 使 用 两 台 Linux 主机 (一 台 充 当 NFS 
服务 器 ， 一 台 充 当 NFS 客户 端 )， 并 按照 表 12-6 来 设置 它们 所 使 用 的 了 P 地 址 。 




















表 12-6 两 台 Linux 主机 所 使 用 的 操作 系统 以 及 IP 地 址 
主机 名 称 操作 系统 IP 地 址 
NFS 服务 需 RHEL7 192.168.10.10 
NFS 客户 端 RHEL7 192.168.10.20 
另外 ， 不 要 忘记 清空 NFS 服务 吉 上 面 iptables 防火 墙 的 默认 策略 ， 以 免 默 认 的 防火 墙 策 


























略 禁 止 正常 的 NFS 共享 服务 。 





[root@linuxprobe ~]# iptables -F 
[root@linuxprobe ~]# service iptables save 
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK | 








第 2 步 : 在 NFS 服务 需 上 建立 用 于 NFS 文件 共享 的 目录 ， 并 设置 足够 的 权限 确保 其 他 
人 也 有 写 入 权限 。 











[root@linuxprobe ~]# mkdir /nfsfile 
[root@linuxprobe ~]# chmod -RE 777 /nfsfile 
[root@linuxprobe ~]# echo "welcome to linuxprobe.com" > /nfsfile/readme 











第 3 步 : NFS 服务 程序 的 配置 文件 为 /etc/exports ， 默 认 情 况 下 里 面 没 有 任何 内 容 。 我 们 
可 以 按照 “共享 目录 的 路 径 允许 访问 的 NFS 客户 端 ( 共享 权限 参数 )” 的 格式 ， 定 义 要 共享 
的 目录 与 相应 的 权限 。 

例如 ， 如 果 想 要 把 /nfsfile 目录 共享 给 192.168.10.0/24 网 段 内 的 所 有 主机 ， 让 这 些 主机 都 
拥有 读 写 权限 ， 在 将 数据 写 信 到 NFS 服务 器 的 硬盘 中 后 才 会 结束 操作 ， 最 大 限度 保证 数据 不 





242 


12.2 NFS ( 网络 文件 系统 ) 


丢失 ， 以 及 把 来 访客 户 端 root 管理 员 上 映射 为 本 地 的 匿名 用 户 等 ， 则 可 以 按照 下 面 命令 中 的 格 
式 ， 将 表 12-7 中 的 参数 写 到 NFS 服务 程序 的 配置 文件 中 。 

























































































表 12-7 用 于 配置 NFS 服务 程序 配置 文件 的 参数 
参数 作用 

起 写 
root squash 当 NFS 客户 端 以 root 管理 员 访 问 时 ， 映 射 为 NFS 服务 器 的 匿名 用 户 
no_root_ squash 当 NFS 客户 端 以 root 管理 员 访 问 时 , 映射 为 NFS 服务 器 的 root 管理 员 
all squash 无 论 NFS 客户 端 使 用 什么 账户 访问 , 均 映 射 为 NFS 服务 器 的 匿名 用 户 
Sync 同时 将 数据 写 入 到 内 存 与 硬盘 中 ， 保 证 不 丢失 数据 
二 内 存 , 然后 再 写 人 硬盘 ; 这 样 效率 更 高 , 但 可 能 会 丢 


请 注意 ，NFS 客户 端 地 址 与 权限 之 间 没 有 空格 。 





[root@linuxprobe ~]# vim /etc/exports 
/nfsfile 192.168.10.*(rw,sync,root squash) 





第 4 步 : 启动 和 启用 NFS 服务 程序 。 由 于 在 使 用 NFS 服务 进行 文件 共享 之 前 ， 需 要 使 


用 RPC (Remote Procedure Call， 远 程 过 程 调用 ) 服务 将 NFS 服务 器 的 卫 地 址 和 端口 号 等 信 
息 发 送 给 客户 端 。 因 此 ， 在 启动 NFS 服务 之 前 ， 还 需要 顺带 重启 并 启用 rpcbind 服务 程序 ， 
并 将 这 两 个 服务 一 并 加 入 开机 启动 项 中 。 











[root@linuxprobe ~]# systemctl1 restart rpcbind 

[root@linuxprobe ~]# systemctl1 enable rpcbind 

[root@linuxprobe ~]# systemctl1 start nfs-server 

[root@linuxprobe ~]# systemctl1 enable nfs-server 

ln -s '/usr/lib/systemd/system/nfs-server.service' '/etc/systemd/system/nfs. 


target .wants/nfs-server.service' 





NFS 客户 端的 配置 步骤 也 十 分 简单 . 先 使 用 showmount 命令 ( 以 及 必要 的 参数 , 见 表 12-8 ) 











查询 NFS 服务 器 的 远程 共享 信息 ， 其 输出 格式 为 “共享 的 目录 名 称 允许 使 用 客户 端 地 址 ”。 














表 12-8 showmount 命令 中 可 用 的 参数 以 及 作用 
参数 作用 
-e 显示 NFS 服务 器 的 共享 列表 
-a 显示 本 机 挂 载 的 文件 资源 的 情况 
一 V 显示 版 本 号 








[root@linuxprobe ~]# showmount -e 192.168.10.10 
Export list for 192.168.10.10: 
/nfsfile 192.168.10.* 








然后 在 NFS 客户 端 创建 一 个 挂 载 目 录 。 使 用 mount 命令 并 结合 -t 参数 ， 指 定 要 挂 载 的 文 





件 系统 的 类 型 ， 并 在 命令 后 面 写 上 服务 器 的 卫 地 址 、 服 务 器 上 的 共享 目录 以 及 要 挂 载 到 本 地 
系统 ( 即 客户 端 ) 的 目录 。 
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使 用 Samba 或 NFS 实现 文件 共享 





[root@linuxprobe ~]# mkdir /nfsfile 
[root@linuxprobe ~]# mount -t nfs 192.168.10.10:/nfsfile /nfsfile 























挂 载 成 功 后 就 应 该 能 够 顺利 地 看 到 在 执行 前 面 的 操作 时 写 入 的 文件 内 容 了 。 如 果 和 希望 





NFS 文件 共享 服务 能 一 直 有 效 ， 则 需要 将 其 写 人 到 fstab 文件 中 : 








root@linuxprobe ~]# cat /nfsfile/readme 
welcome to linuxprobe.com 
root@linuxprobe ~]# vim /etc/fstab 
/etc/fstab 


Created by anaconda on Wed May 4 19:26:23 2017 


Accessible filesystems, by reference, are maintained under '/dev/disk' 
See man pages fstab(5), findfs(8), mount (8) and/or blkid(8) for more info 








/dev/mapper/rhel-root 六 xfs defaults i 
UUID=812b1lf7c-8b5b-43da-8c06-b9999e0fe48b /boot xfs defaults 下 “ 沟 
/dev/mapper /rhel-swap swap swap defaults 0 0 
/dev/cdrom /media/cdrom iso9660 defaults 0 0 


192.168.10.10:/nfsfile /nfsfile nfs defaults 0 0 





12.3 ” autofs 自动 挂 载 服务 




















无 论 是 Samba 服务 还 是 NFS 服务 , 都 要 把 挂 载 信息 写 入 到 /etc/fstab 中 , 这样 远程 共享 资 

















源 就 会 自动 随 服务 器 开机 而 进行 挂 载 。 虽然 这 很 方便 ,但 是 如 果 挂 载 的 远程 资源 大多 ， 则 会 
给 网 络 带宽 和 服务 器 的 硬件 资源 带 来 很 大 负载 。 如 果 在 资源 挂 载 后 长 期 不 使 用 ， 也 会 造成 服 
务 器 硬件 资源 的 浪费 。 可 能 会 有 读者 说 ,“ 可 以 在 每 次 使 用 之 前 执行 mount 命令 进行 手动 挂 


O 



























































这 是 一 个 不 错 的 选择 ,但 是 每 次 都 需要 先 挂 载 再 使 用 ， 您 不 觉得 麻烦 吗 ? 
autofs 自动 挂 载 服务 可 以 帮 我 们 解决 这 一 问题 。 与 mount 命令 不 同 ,，autofs 服务 程序 是 一 





























种 Linux 系统 守护 进程 ， 当 检测 到 用 户 视图 访问 一 个 尚未 挂 载 的 文件 系统 时 ， 将 自动 挂 载 该 
文件 系统 。 换 句 话说 , 我 们 将 挂 载 信息 填 入 /etc/fstab 文件 后 , 系统 在 每 次 开机 时 都 自动 将 其 挂 载 ， 
而 autofs 服务 程序 则 是 在 用 户 需 要 使 用 该 文件 系统 时 才 去 动态 挂 载 ， 从 而 节约 了 网 络 资 源 和 
服务 器 的 硬件 资源 。 
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[root@linuxprobe ~]# yum install autofs 

Loaded plugins: langpacks, product-id, subscription-manager 

This system is not registered to Red Hat Subscription Management. You can use 
subscription-manager to register. 

rhel | 4.1 kB 00:00 

Resolving Dependencies 

--> Running transaction check 

---> Package autofs.x86 64 1:5.0.7-40.el7 will be installed 

--> Processing Dependency: libhesiod.so.0() (64bit) for package: 1:autofs-5.0.7- 
40.e17.x86 64 

--> Running transaction check 

---> Package hesiod.x86 64 0:3.2.1-3.el7 will be installed 

--> Finished Dependency Resolution 

Dependencies Resolved 


12.3 autofs 自动 挂 载 服务 








Package Arch Version Repository Size 








Installing: 

autofs x86 64 1:5.0.7-40.el7 rhel 550 k 
Installing for dependencies: 

hesiod x86 64 3.2.1-3.el7 rhel 30 k 


Transaction Summary 








Install 1 Package (+1 Dependent package) 
Total download size: 579 k 

Installed size: 3.6 M 

Is this ok [y/d/N]: y 

Downloading packages: 


Total 9.4 MB/s | 579 kB 00:00 
Running transaction check 
Running transaction test 





Transaction test succeeded 
Running transaction 
Installing : hesiod-3.2.1-3.el1l7.x86 64 1/2 
Installing : 1l:autofs-5.0.7-40.e17.x86 64 2/2 
Verifying : hesiod-3.2.1-3.e17.x86 64 1/2 
Verifying : l:autofs-5.0.7-40.e17.x86 64 2/2 
Installed: 
autofs.x86 64 1:5.0.7-40.el17 
Dependency Installed: 
hesiod.x86 64 0:3.2.1-3.el7 
Complete! 











处 于 生产 环境 中 的 Linux 服务 器 ， 一 般 会 同时 管理 许多 设备 的 挂 载 操作 。 如 果 把 这 些 设 

















备 挂 载 信息 都 写 人 到 autofs 服务 的 主 配置 文件 中 ， 无 疑 会 让 主 配 置 文件 腑 肿 不 堪 ， 不 利于 服 


务 执行 效率 ， 也 不 利于 日 后 修改 里 面 的 配置 内 容 ， 因 此 在 autofs 服务 程序 的 主 配 置 文件 中 需 











要 按照 “ 挂 载 目 录 子 配 置 文件 ”的 格式 进行 填写 。 挂 载 目录 是 设备 挂 载 位 置 的 上 一 








级 目录 。 


例如 ， 光盘 设备 一 般 挂 载 到 /media/cdrom 目录 中 , 那么 挂 载 目 录 写 成 /media 即 可 。 对 应 的 子 
配置 文件 则 是 对 这 个 挂 载 目录 内 的 挂 载 设备 信息 作 进 一 步 的 说 明 。 子 配置 文件 需要 用 户 自行 
定义 ,文件 名 字 没 有 严格 要 求 ,， 但 后 级 必须 以 .misc 结束 。 具 体 的 配置 参数 如 第 7 行 的 加 粗 字 




















所 示 。 





root@linuxprobe ~]# vim /etc/auto.master 


Sample auto.master file 

This is an automounter map and it has the following format 
key [ -mount-options-separated-by-comma ] location 

For details of the format look at autofs (5). 


/media /etc/iso.misc 
/misc /etc/auto.misc 


NOTE: mounts done from a hosts map will be mounted with the 
"nosuid" and "nodev" options unless the "suid" and "dev" 
options are explicitly given. 








/net -hosts 
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使 用 Samba 或 NFS 实现 文件 共享 


Include /etc/auto.master.d/*.autofs 


+dir:/etc/auto.master.d 


Include central master map if it can be found using 
nsswitch sources. 

Note that if there are entries for /net or /misc (as 
above) in the included master map any keys that are the 
same will not be seen as the first read key seen takes 


precedence. 








tauto.master 





在 子 配置 文件 中 ， 应 按照 “ 挂 载 目录 挂 载 文 件 类 型 及 权限 :设备 名 称 ” 的 格式 进行 填写 。 





例如 , 要 把 光盘 设备 挂 载 到 /mediayiso 目录 中 , 可 将 挂 载 目 录 写 为 go， 而 -ftype 为 文件 系统 格式 参 
数 ，iso9660 为 光盘 设备 格式 ，ro 、nosuid 及 nodev 为 光盘 设备 具体 的 权限 参数 ，/dev/cdrom 则 是 
定义 要 挂 载 的 设备 名 称 。 配 置 完 成 后 再 顺手 将 autofs 服务 程序 启动 并 加 入 到 系统 启动 项 中 : 











root@linuxprobe ~]# vim /etc/iso.misc 


iso -fstype=iso9660,ro,nosuid,nodev :/dev/cdrom 

root@linuxprobe ~]# systemctl1 start autofs 

root@linuxprobe ~]# systemctl1 enable autofs 

'/etc/systemd/system/multi-user. 


ln -s '/usr/lib/systemd/system/autofs.service' 


target .wants/autofs.service' 











接 下 来 将 发 生 一 件 非常 有 趣 的 事情 。 我 们 先 查 看 当前 的 光盘 设备 挂 载 情况 , 确认 光盘 设备 没 








有 被 挂 载 上 ， 而 且 /media 目录 中 根本 就 没有 iso 子 目录 。 但 是 ， 我 们 却 可 以 使 用 cd 命令 切换 到 这 
个 iso 子 目录 中 ， 而 且 光 盘 设 备 会 被 立即 自动 挂 载 上 。 我 们 也 就 能 顺利 查看 光盘 内 的 内 容 了 。 
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[root@linuxprobe ~]# df -h 





Filesystem Size Used Avail Use% Mounted on 
/dev/mapper/rhel-root 18G 3.0G 15G 17% “3 
devtmpfs 905M 0 905M 0$ /dev 
tmpfs 914M 140K 914M 1% /dev/shm 
tmpfs 914M 8.9M 905M LS%: /ruUn 
tmpfs 914M 0 914M 0% /sys/fs/cgroup 
/dev/sdal 497M 119M 379M 24% /boot 
[root@linuxprobe ~]# cd /media 

[root@linuxprobe medial]# ls 

[root@linuxprobe medial# cd iso 

[root@linuxprobe iso]# ls -1 

total 812 

dr-xr-xr-x. 4 root root 2048 May 7 2017 addons 
dr-xr-xr-x. 3 root root 2048 May 7 2017 EFI 
—r-—-r--r--. 1 root root 8266 Apr 4 2017 EULA 
—r--r--r--. 1 root root 18092 Mar 6 2012 GPL 
dr-xr-xr-x. 3 root root 2048 May 7 2017 images 
dr-xr-xr-x. 2 root root 2048 May 7 2017 isolinux 
dr-xr-xr-x. 2 root root 2048 May 7 2017 LiveOS 
—r--r--r--. 1 root root 108 May 7 2017 media.repo 
dr-xr-xr-x. 2 root root 774144 May 7 2017 Packages 
dr-xr-xr-x. 24 root root 6144 May 7 2017 release-notes 


dr-xr-xXr-X, .2 roOGt. root 4096 May 7 2017 zepodata 

—r-—-r--r-—-. 1 root root 3375 Apr 1 2017 RPM-GPG-KEY-redhat-beta 
—r--r--r--. 1 root root 3211 Apr 1 2017 RPM-GPG-KEY-redhat-release 
—r--r--r--. 1 root root 1568 May 7 2017 TRANS.TBL 
[root@linuxprobe ~]# df -h 

Filesystem Size Used Avail Uses Mounted on 
/dev/mapper/rhel-root 18G 3.0G 15G 17% / 

devtmpfs 905M 0 905M 0% /dev 

tmpfs 914M 140K 914M 1% /dev/shm 

tmpfs 914M 8.9M 905M 4% » NEU 

tmpfs 914M 0 914M 0% /sys/fs/cgroup 
/dev/cdrom 3.5G 3.5G 0 100% /media/iso 
/dev/sdal 497M 119M 379M 24% /boot 





| 复习 题 





1， 要 想 实 现 Linux 系统 与 Windows 系统 之 间 的 文件 共享 ， 能 否 使 用 NFS 服务 ? 
答 : 不 可 以 ， 应 该 使 用 Samba 服务 程序 ，NFS 服务 仅 能 实现 Linux 系统 之 间 的 文件 共享 。 











2. 用 于 管理 Samba 服务 程序 的 独立 账户 信息 数据 库 的 命令 是 什么 ? 








答 : pdbedit 命令 用 于 管理 Samba 服务 程序 的 账户 信息 数据 库 。 


3， 简 述 在 Windows 系统 中 使 用 Samba 服务 程序 来 共享 资源 的 方法 。 
答 : 在 开始 菜单 的 输入 框 中 按照 \192.168.10.10 的 格式 输入 访问 命令 并 回 车 执行 即 可 。 在 
Windows 的 “运行 ”命令 框 中 按照 从 192.168.10.10” 的 格式 输入 访问 命令 并 按 回 车 键 即 可 。 





4. 简 述 在 Linux 系统 中 使 用 Samba 服务 程序 来 共享 资源 的 步 又 方法 。 














答 : 首先 应 创建 密码 认证 文件 以 及 挂 载 目 录 ，, 然后 把 挂 载 信息 写 

















后 执行 mount -a 命令 挂 载 使 用 。 








5， 如 果 在 Linux 系统 中 默认 没有 安装 NFS 服务 程序 ， 则 需 


写 入 到 /etc/fstab 文件 中 ,最 











需要 安装 什么 软件 包 呢 ? 
答 : NFS 服务 程序 的 软件 包 名 字 为 nfs-utils ， 因 此 执行 yum install nfs-utils 命令 即 可 。 





6， 在 使 用 NEFS 服务 共享 资源 时 ， 若 希望 无 论 NFS 客户 端 使 用 什么 帐户 来 访问 共享 资源 ， 都 





会 被 映射 为 本 地 匿名 用 户 ， 出 需要 派 加 时 个 参 数 。 





答 : 需要 添加 all_squash 参数 ， 以 便 更 好 地 保证 服务 器 的 安全 。 





7.， 客户 端 在 查看 到 远程 NFS 服务 器 上 的 共享 资源 列表 时 ， 需 要 使 用 哪个 命令 ? 
答 : 使 用 showmount 命令 即 可 看 到 NFS 服务 器 上 的 资源 共享 情况 。 





8.， 简 述 autofs 服务 程序 的 作用 。 
答 : 实现 动态 灵活 的 设备 挂 载 操作 , 而 且 只 有 检测 到 月 








有 户 试 








统 时 ， 才 自动 挂 载 该 文件 系统 。 


图 访问 一 个 尚未 挂 载 的 文件 系 
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第 13 章 | 


使 用 BIND 提供 域名 解析 服务 


本 章 讲解 了 如 下 内 容 : 


DNS 域名 解析 服务 ; 
安装 bind 服务 程序 ; 
部 署 从 服务 器 ; 
安全 的 加 密 传输 ; 

部 署 缓存 服务 器 ; 

分 离 解 析 技 术 。 


AAA 0 














前 讲 解 了 DNS 域名 解析 服务 的 原理 以 及 作用 , 介绍 了 域名 查询 功能 中 正 向 解析 与 反 向 
解析 的 作用 ,并 通过 实验 的 方式 演示 了 如 何在 DNS 主 服务 右上 部 署 正 、 反 解析 工作 模式 ， 以 
便 让 大 家 深刻 体会 到 DNS 域名 查询 的 便利 以 及 强大 。 

本 章 还 介绍 了 如 何 部 署 DNS 从 服务 器 以 及 DNS 缓存 服务 器 来 提升 用 户 的 域名 查询 体验 ， 
以 及 如 何 使 用 chroot 牢笼 机 制 插件 来 保障 bind 服务 程序 的 可 靠 性 ， 并 向 大 家 演示 如 何在 主 服 
务 顺 与 从 服务 器 之 间 部 署 TSIG 密 钥 加 密 功能 ,来 进一步 保障 迭代 查询 中 数据 的 安全 性 。 最 后 ， 
本 章 还 从 实战 层面 讲解 了 DNS 分 析 解 析 技 术 , 让 来 自 不 同 国家 、 不 同 地 区 的 用 户 都 能 获得 最 
优 的 网 站 访问 体验 。 

相信 大 家 在 学 完 本 章 内 容 之 后 ,一 定 会 对 bind 服务 程序 有 更 深入 的 了 解 和 认识 ,并 能 深 
刻 地 体会 到 作为 互联 网 基础 设施 中 重要 一 环 的 DNS 域名 解析 服务 , 在 互联 网 中 所 承担 的 重要 
角色 和 发 挥 的 重要 作用 。 
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相 较 于 由 数字 构成 的 卫 地 址 , 域名 更 容易 被 理解 和 记忆 ， 所 以 我 们 通常 更 习惯 通过 域名 
的 方式 来 访问 网 络 中 的 资源 。 但 是 ， 网 络 中 的 计算 机 之 间 只 能 基于 卫 地 址 来 相互 识别 对 方 的 
身份 ， 而 且 要 想 在 互联 网 中 传输 数据 ， 也 必须 基于 外 网 的 全 地 址 来 完成 。 

为 了 降低 用 户 访问 网 络 资源 的 门槛 ，DNS ( Domain Name System， 域 名 系统 ) 技术 应 运 
而 生 。 这 是 一 项 用 于 管理 和 解析 域名 与 IP 地 址 对 应 关系 的 技术 ， 简 单 来 说 ， 就 是 能 够 接受 用 
户 输入 的 域名 或 P 地 址 ， 然 后 自动 查找 与 之 匹配 (或 者 说 具有 了 映射 关系 ) 的 卫 地 址 或 域名 ， 
即将 域名 解析 为 IP 地 址 ( 正 向 解析 )， 或 将 IP 地 址 解析 为 域名 ( 反 向 解析 )。 这 样 一 来 ， 我 
们 只 需要 在 浏览 器 中 输入 域名 就 能 打开 想 要 访问 的 网 站 了 。DNS 域名 解析 技术 的 正 向 解析 也 
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是 我 们 最 常 使 用 的 一 种 工作 模式 。 
鉴于 互联 网 中 的 域名 和 IP 地 址 对 应 关系 数据 库 太 过 庞大 ，DNS 域名 解析 服务 采用 了 类 
似 目 录 树 的 层次 结构 来 记录 域名 与 IP 地 址 之 间 的 对 应 关系 ， 从 而 形成 了 一 个 分 布 式 的 数据 库 


系统 ， 如 图 13-1 所 示 。 
| | | | | 
ff f Y f 
| 
' 站 f f 
Y Y f 


图 13-1 DNS 域名 解析 服务 采用 的 目录 树 层次 结构 


域名 后 组 一 般 分 为 国际 域名 和 国内 域名 。 原 则 上 来 讲 ， 域 名 后 绥 都 有 严格 的 定义 ， 但 在 
实际 使 用 时 可 以 不 必 严 格 遵守 。 目 前 最 常见 的 域名 后 级 有 .com ( 商业 组 织 )、.org ( 非 营利 组 
织 )、.gov (政府 部 门 )、.net( 网 络 服务 商 )、.edu( 教研 机 构 )、.pub ( 公共 大 众 )、.cn (中国 
国家 顶级 域名 ) 等 。 
当今 世界 的 信息 化 程度 越 来 越 高 ， 大 数据 、 云 计算 、 物 联网 、 人 工 智 能 等 新 技术 不 断 涌 
现 , 全球 网 民 的 数量 据说 也 超过 了 35 亿 , 而 且 每 年 还 在 以 10% 的 速度 迅速 增长 。 这 些 因素 导 
致 互联 网 中 的 域名 数量 进一步 激增 ， 被 访问 的 频率 也 进一步 加 大 。 假 设 全 球 网 民 每 人 每 天 只 
访问 一 个 网 站 域名 ,而 且 只 访问 一 次 ,也 会 产生 35 亿 次 的 查询 请 求 ， 如 此 庞大 的 请 求 数量 肯 
定 无 法 被 某 一 台 服 务 需 全 部 处 理 掉 。DNS 技术 作为 互联 网 基础 设施 中 重要 的 一 环 ， 为 了 为 网 
民 提 供 不 间 断 、 稳 定 且 快速 的 域名 查询 服务 ， 保 证 互联 网 的 正常 运转 ， 提 供 了 下 面 三 种 类 型 
的 服务 器 。 
> 主 服务 器 : 在 特定 区 域内 具有 唯一 性 ， 负 责 维护 该 区 域内 的 域名 与 卫 地 址 之 间 的 对 
应 关系 。 

> 从 服务 器 : 从 主 服务 器 中 获得 域名 与 IP 地 址 的 对 应 关系 并 进行 维护 ， 以 防 主 服务 器 
宕 机 等 情况 。 

> 缓存 服务 器 : 通过 向 其 他 域名 解析 服务 器 查询 获得 域名 与 IP 地 址 的 对 应 关系 , 并 
将 经 常 查 询 的 域名 信息 保存 到 服务 器 本 地 ， 以 此 来 提高 重复 查询 时 的 效率 。 

简单 来 说 , 主 服务 器 是 用 于 管理 域名 和 了 IP 地址 对 应 关系 的 真正 服务 器 ， 从 服务 器 帮助 主 
服务 器 “打下 手 ”， 分 散 部 署 在 各 个 国家 、 省 市 或 地 区 ， 以 便 让 用 户 就 近 查 询 域名 ， 从 而 减轻 
主 服务 器 的 负载 压力 。 缓 存 服务 器 不 太 常 用 ， 一 般 部 署 在 企业 内 网 的 网 关 位 置 ， 用 于 加 速 用 
户 的 域名 查询 请 求 。 

DNS 域名 解析 服务 采用 分 布 式 的 数据 结构 来 存放 海量 的 “区 域 数据 ”信息 ， 在 执行 用 户 
发 起 的 域名 查询 请 求 时 ， 具 有 递归 查询 和 和 迭代 查询 两 种 方式 。 所 谓 递归 查询 ,是 指 DNS 服务 
器 在 收 到 用 户 发 起 的 请 求 时 ， 必 须 向 用 户 返 回 一 个 准确 的 查询 结果 。 如 果 DNS 服务 器 本 地 没 
有 存储 与 之 对 应 的 信息 , 则 该 服务 器 需要 询问 其 他 服务 器 ,并 将 返回 的 查询 结果 提交 给 用 户 。 
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而 迭代 查询 则 是 指 ，DNS 服务 器 在 收 到 用 户 发 起 的 请 求 时 ， 并 不 直接 回复 查询 结果 ， 而 是 告 
诉 另 一 台 DNS 服务 器 的 地 址 ， 用 户 再 向 这 台 DNS 服务 器 提交 请 求 ， 这 样 依次 反复 ， 直 到 返 
回 查 询 结果 。 

由 此 可 见 ， 当 用 户 向 就 近 的 一 台 DNS 服务 器 发 起 对 某 个 域名 的 查询 请 求 之 后 ( 这 里 以 
www.linuxprobe.com 为 例 )， 其 查询 流程 大 致 如 图 13-2 所 示 。 











客户 机 发 起 查询 请 求 | 岳 凤 当 浊 固 指 


www.linuxprobe.com 





图 13-2 ”向 DNS 服务 器 发 起 域名 查询 请 求 的 流程 


当 用 户 向 网 络 指定 的 DNS 服务 器 发 起 一 个 域名 请 求 时 ， 通 常情 况 下 会 有 本 地 由 此 DNS 
服务 器 向 上 级 的 DNS 服务 器 发 送 迭 代 查 询 请 求 ， 如 果 该 DNS 服务 器 没有 要 查询 的 信息 ， 则 
会 进一步 向 上 级 DNS 服务 器 发 送 迭 代 查 询 请 求 , 直到 获得 准确 的 查询 结果 为 止 。 其 中 最 高 级 、 
最 权威 的 根 DNS 服务 器 总 共有 13 人 台 ， 分 布 在 世界 各 地 ， 其 管理 单位 、 具 体 的 地 理 位 置 ， 以 
及 IP 地 址 如 表 13-1 所 示 。 






















































































































































































表 13-1 13 台 根 DNS 服务 器 的 具体 信息 
名 称 管理 单位 地 理 位 置 卫 地 址 

A INTERNIC.NET 美国 弗吉尼亚 州 198.41.0.4 
B 美国 信息 科学 研究 所 美国 加 利 福 尼 亚 州 128.9.0.107 
C PSINet 公司 美国 弗吉尼亚 州 192.33.4.12 
D 马里 兰 大 学 美国 马里 兰州 128.8.10.90 
E 美国 航空 航天 管理 局 美国 加 利 福 尼 亚 州 192.203.230.10 
F 因特网 软件 联盟 美国 加 利 福 尼 亚 州 192.5.5.241 
G 美国 国防 部 网 络 信息 中 心 美国 弗吉尼亚 州 192.112.36.4 
H 美国 陆军 研究 所 美国 马里 兰州 128.63.2.53 
I Autonomica 公司 瑞典 斯 德 哥 尔 摩 192.36.148.17 
J VeriSign 公司 美国 弗吉尼亚 州 192.58.128.30 
K RIPE NCC 英国 伦敦 193.0.14.129 
L IANA 美国 弗吉尼亚 州 199.7.83.42 
M WIDE Project 日 本 东京 202.12.27.33 
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BIND (Berkeley Internet Name Domain, 伯克利 因特网 名 称 域 ) 服务 是 全 球 范围 内 使 用 最 
广泛 、 最 安全 可 靠 且 高 效 的 域名 解析 服务 程序 。DNS 域名 解析 服务 作为 互联 网 基础 设施 服务 ， 
其 责任 之 重 可 想 而 知 ， 因 此 建议 大 家 在 生产 环境 中 安装 部 署 bind 服务 程序 时 加 上 chroot ( 俗 
称 牢笼 机 制 ) 扩展 包 ， 以 便 有 效 地 限制 bind 服务 程序 仅 能 对 自身 的 配置 文件 进行 操作 ， 以 确 
保 整 个 服务 器 的 安全 。 





















































root@linuxprobe ~]# yum install bind-chroot 

Loaded Plugins: langpacks, product-id, subscription-manager 
re 省 略 部 分 输出 信息 

Installing: 


bind-chroot x86 64 32:9.9.4-14.el7 rhel 81 k 
Installing for dependencies: 
bind x86 64 32:9.9.4-14.el7 rhel 1.8 M 


Transaction Summary 








Install 1 Package (+1 Dependent package) 
Total download size: 1.8 M 

Installed size: 4.3 M 

Is this ok [y/d/N]: y 

Downloading packages: 

Total 28 MB/s | 1.8 MB 00:00 

Running transaction check 

Running transaction test 





Transaction test succeeded 
Running transaction 

Installing : 32:bind-9.9.4-14.el17.x86 64 1/2 
Installing : 32:bindq-chroot-9.9.4-14.e17.x86 64 2/2 
Verifying : 32:bind-9.9.4-14.el17.x86 64 1/2 
Verifying : 32:bind-chroot-9.9.4-14.e17.x86 64 2/2 
Installed: 

bind-chroot.x86 64 32:9.9.4-14.el7 
Dependency Installed: 

bind.x86 64 32:9.9.4-14.e17 

Complete! 


bind 服务 程序 的 配置 并 不 简单 , 因为 要 想 为 用 户 提 供 健 全 的 DNS 查询 服务 , 要 在 本 地 保 
存 相关 的 域名 数据 库 ， 而 如 果 把 所 有 域名 和 IP 地 址 的 对 应 关系 都 写 人 到 某 个 配置 文件 中 , 售 
计 要 有 上 千 万 条 的 参数 ， 这 样 既 不 利于 程序 的 执行 效率 ， 也 不 方便 日 后 的 修改 和 维护 。 因 此 
在 bind 服务 程序 中 有 下 面 这 三 个 比较 关键 的 文件 。 

> 主 配 置 文件 (/etcmnamed.conf ): 只 有 58 行 ， 而 且 在 去 除 注释 信息 和 空 行 之 后 ， 实 际 

有 效 的 参数 仅 有 30 行 左右 ， 这 些 参数 用 来 定义 bind 服务 程序 的 运行 。 

> 区 域 配置 文件 (/etcmnamed.rfc1912.zones ): 用 来 保存 域名 和 卫 地 址 对 应 关系 的 所 在 位 
置 。 类 似 于 图 书 的 目录 ， 对 应 着 每 个 域 和 相应 IP 地 址 所 在 的 具体 位 置 ， 当 需要 查看 
或 修改 时 ， 可 根据 这 个 位 置 找到 相关 文件 。 
> 数据 配置 文件 目录 (/varnamed ): 该 目录 用 来 保存 域名 和 卫 地 址 真实 对 应 关系 的 数 

据 配 置 文件 。 
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在 Linux 系统 中 , bind 服务 程序 的 名 称 为 named。 首先 需要 在 /etc 目录 中 找到 该 服务 程序 
的 主 配置 文件 ， 然 后 把 第 11 行 和 第 17 行 的 地 址 均 修改 为 ny， 分 别 表示 服务 器 上 的 所 有 TP 
地 址 均 可 提供 DNS 域名 解析 服务 ， 以 及 允许 所 有 人 对 本 服务 器 发 送 DNS 查询 请 求 。 这 两 个 
地 方 一 定 要 修改 准确 。 











root@linuxprobe ~]# vim /etc/named.conf 


[ 

TA 

2 // named.conf 

3 

4 // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS 
5 // server as a caching only nameserver (as a localhost DNS resolver only). 
6 

7 // See /usr/share/doc/bind*/sample/ for example named configuration files. 
8 // 

9 

10 options { 

11 listen-on port 53 { any; }; 

12 listen—on-v6 port 53 { Sil }» 

13 directory "/var/named"; 

14 dump-file "/var/named/data/cache dump.db"; 

15 statistics-file "/var/named/data/named stats.txt"; 

16 memstatistics-file "/var/named/data/named mem stats.txt"; 

17 allow-query { any; }; 

18 

19. 

20 - IE you are building an AUTHORITATIVE DNS server, do NOT enable re cursion. 
于 TOB 


21 - IE you are building a RECURSIVE (caching) DNS server, you need to enable 


22 recursion. 


23 
24 
25 
26 
27 
28 
必 9 
30 
31 
32 
33 
34 
35 
36 
3 
38 
39 
40 
41 
42 
43 
44 
45 
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— If your recursive DNS server has a public IP address, you MUST en able access 


control to limit queries to your legitimate users. Failing to do so will 


Cause your server to become part of large scale DNS amplification 


attacks. Implementing BCP38 within your network would greatly 


reduce such attack surface 


wh 


recursion yes; 


dnssec-enable yes; 


dnssec-validation yes; 


dnssec-lookaside auto; 


/* Path to ISC DLV key */ 
bindkeys-file "/etc/named.iscdlv.key"; 


managed-keys-directory "/var/named/dynamic"; 


pid-file "/run/named/named.pid"; 


session-keyfile "/run/named/session.key"; 


}; 


logging { 
channel default debug { 
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46 file "data/named.run"; 

47 severity dynamic; 

48 }; 

49 }; 

50 

SL ons Ty™ TN- 

52 type hint; 

53 file "named.ca"; 

54 }; 

SD 

56 include "/etc/named.rfc1912.zones"; 
57 include "/etc/named.root.key"; 
58 





如 前 所 述 ，bind 服务 程序 的 区 域 配置 文件 (/etc/named.rfc1912.zones ) 用 来 保存 域名 和 人 P 
地 址 对 应 关系 的 所 在 位 置 。 在 这 个 文件 中 , 定义 了 域名 与 卫 地 址 解析 规则 保存 的 文件 位 置 以 
及 服务 类 型 等 内 容 ， 而 没有 包含 具体 的 域名 、 了 PP 地 址 对 应 关系 等 信息 。 服 务 类 型 有 三 种 ， 分 
别 为 hint ( 根 区 域 )、master ( 主 区域 )、slave ( 辅助 区 域 )， 其 中 常用 的 master 和 slave 指 的 就 
是 主 服 务 器 和 从 服务 器 。 将 域名 解析 为 IP 地 址 的 正 向 解析 参数 和 将 IP 地 址 解析 为 域名 的 反 
向 解析 参数 分 别 如 图 13-3 和 图 13-4 所 示 。 


























zone “linuxprobe.com” IN{ 服务 类 型 域名 与 IP 地 址 解析 规则 保存 
type master; Cra | 的 文件 位 置 


file “1]inuxprobe.com. zone”; 


3 ow poate {none; }; 一 ~ 多 许 哪 些 客户 机 动态 更 新 解析 信息 





图 13-3” 正 向 解析 参数 





zone “10.168.192.in-addr.arpa” IN: 
type master; 


file “192.168.10.arpa”; 表示 192.168.10.0/24 网 段 的 反 向 解析 区 域 
Es 





图 13-4 反 向 解析 参数 


下 面 的 实验 中 会 分 别 修改 bind 服务 程序 的 主 配置 文件 、 区 域 配 置 文件 与 数据 配置 文件 。 
如 果 在 实验 中 遇 到 了 bind 服务 程序 启动 失败 的 情况 ， 而 您 认为 这 是 由 于 参数 写 错 而 导致 的 ， 
则 可 以 执行 named-checkconf 命令 和 named-checkzone 命令 ,分 别 检查 主 配置 文件 与 数据 配置 
文件 中 语法 或 参数 的 错误 。 


13.2.1 正 向 解析 实验 


在 DNS 域名 解析 服务 中 ， 正 向 解析 是 指 根据 域名 ( 主机 名 ) 查找 到 对 应 的 IP 地 址 。 也 
就 是 说 ， 当 用 户 输入 了 一 个 域名 后 ，bind 服务 程序 会 自动 进行 查找 ,并 将 匹配 到 的 IP 地 址 返 
给 用 户 。 这 也 是 最 常用 的 DNS 工作 模式 。 

第 1 步 : 编辑 区 域 配置 文件 。 该 文件 中 默认 已 经 有 了 一 些 无 关 紧要 的 解析 参数 ， 旨 在 让 
用 户 有 一 个 参考 。 我 们 可 以 将 下 面 的 参数 添加 到 区 域 配置 文件 的 最 下 面 ， 当 然 ， 也 可 以 将 该 
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使 用 BIND 提供 域名 解析 服务 





文件 中 的 原 有 信息 全 部 清空 ， 而 只 保留 自己 的 域名 解析 信息 : 
[root@linuxprobe ~]# vim /etc/named.zfc1912.zones 





Zone "linuxprobe.com" IN { 


type master; 


file "linuxprobe.com.zone"; 


allow-update {none;}; 


}; 





第 2 步 : 














编辑 数据 配置 文件 。 我 们 可 以 从 /varnamed 目录 中 复制 一 份 正 向 解析 的 模板 文 


件 (named.localhost )， 然 后 把 域名 和 了 正 地 址 的 对 应 数据 填写 数据 配置 文件 中 并 保存 。 在 复制 


时 记得 加 上 -a 参数 ， 这 可 以 保留 原始 文件 的 所 有 者 、 所 属 组 、 权 限 属性 等 信息 ， 








服务 程序 顺利 读 取 文件 内 容 : 








以 便 让 bind 





[root@linuxprobe ~]# cd /var/named/ 
[root@linuxprobe named]# ls -al named.localhost 
1 root named 152 Jun 21 2007 named.localhost 
[root@linuxprobe named]# cp -a named.localhost linuxprobe.com.zone 


a cm ls 








编辑 数据 配置 文件 。 在 保存 并 退出 后 文件 后 记得 重启 named 服务 程序 ， 让 新 的 解析 数据 
生效 。 考 虑 到 正 向 解析 文件 中 的 参数 较 多 ， 而 且 相 对 都 比较 重要 ， 刘 帝 老 师 在 每 个 参数 后 面 
都 作 了 简要 的 说 明 。 














[root@linuxprobe named]# vim linuxprobe.com.zone 


[root@linuxprobe named]# systemctl1 restart named 




































































$TTL 1D | # 生 存 周 期 为 1 天 
@ IN SOA linuxprobe.com. | root.linuxprobe.com. | ( 
和 和) 
0;serial # 蝎 新 序列 号 
1Direfresh # 更 新 时 间 
lH;retry # 重 试 延 时 
1W;expire # 失 效 时 间 
3H);minimum ed 
的 缓存 时 间 
NS ns.linuxprobe.com. # 域 名 服务 器 记录 
ns INA 192.168.10.10 # 地 址 记录 (ns.linuxprobe.com. ) 
INMX 10 mail.linuxprobe.com. # 邮 箱 交 换 记录 
mail INA 192.168.10.10 # 地 址 记录 ( mail.linuxprobe.com. ) 
WwW INA 192.168.10.10 # 地 址 记录 (www.linuxprobe.com. ) 
bbs INA 192.168.10.20 # 地 址 记录 ( bbs.linuxprobe.com. ) 








第 3 步 : 检验 解析 结果 。 








为 了 检验 解析 结 

















, 一定 要 先 把 Linux 系统 网 卡 中 的 DNS 地 址 


参数 修改 成 本 机 TP 地 址 ， 这 样 就 可 以 使 用 由 本 机 提供 的 DNS 查询 服务 了 。nslookup 命令 用 
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13.2 安装 bind 服务 程序 


于 检测 能 否 从 DNS 服务 器 中 查询 到 域名 与 卫 地 址 的 解析 记录 ,进而 更 准确 地 检验 DNS 服务 
器 是 否 已 经 能 够 为 用 户 提供 服务 。 





[root@linuxprobe ~]# Systemct1 restart network 
[root@linuxprobe ~]# nslookup 
> www.linuxprobe.com 

Server: 127.0.0.1 

Address: 127.0.0.1#53 

Name: www.l1inuxprobe.com 
Address: 192.168.10.10 

> bbs.linuxprobe.com 

Server: 127.0.0.1 

Address: 127.0.0.1#53 

Name: bbs.linuxprobe.com 
Address: 192.168.10.20 





13.2.2” 反 向 解析 实验 


在 DNS 域名 解析 服务 中 ， 反 向 解析 的 作用 是 将 用 户 提 交 的 卫 地 址 解析 为 对 应 的 域名 信 
息 ， 它 一 般 用 于 对 某 个 IP 地 址 上 绑 定 的 所 有 域名 进行 整体 屏蔽 ， 屏 蔽 由 某 些 域名 发 送 的 垃圾 
邮件 。 它 也 可 以 针对 某 个 人 P 地 址 进行 反 癌 解析， 大致 判 断 出 有 多 少 个 网 站 运行 在 上 面 。 当 购 
买 虚 拟 主 机 时 ， 可 以 使 用 这 一 功能 验证 虚拟 主机 提供 商 是 否 有 严重 的 超 售 问题 。 

第 1 步 : 编辑 区 域 配 置 文件 。 在 编辑 该 文件 时 ， 除 了 不 要 写 错 格 式 之 外 ， 还 需要 记 住 此 
处 定义 的 数据 配置 文件 名 称 , 因为 一 会 儿 还 需要 在 /varnamed 目录 中 建立 与 其 对 应 的 同名 文 
件 。 反 向 解析 是 把 卫 地 址 解析 成 域名 格式 ， 因 此 在 定义 zone (区 域 ) 时 应 该 要 把 IP 地 址 反 
写 ， 比 如 原来 是 192.168.10.0， 反 写 后 应 该 就 是 10.168.192, 而 且 只 需 写 出 IP 地 址 的 网 络 位 即 
可 。 把 下 列 参 数 添加 至 正 向 解析 参数 的 后 面 。 

































































[root@linuxprobe ~]# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com" IN { 

type master; 

file "linuxprobe.com.zone"; 

allow-update {none;}; 

}; 

zone "10.168.192.in-addr.arpa" IN { 

type master; 

file "192.168.10.arpa"; 

}; 


第 2 步 : 编辑 数据 配置 文件 。 首 先 从 /var/mamed 目录 中 复制 一 份 反 向 解析 的 模板 文件 
( named.loopback )， 然 后 把 下 面 的 参数 填写 到 文件 中 。 其 中 ，IP 地 址 仅 需要 写 主 机 位 ， 如 图 
13-5 所 示 。 














10 IN PT www .linuxprobe.com. 


) 工 N PTR bbs .linuxprobe. com. 











在 192.168.10.in-addrarpa 反 向 区 域 数据 文件 中 ， 则 对 应 为 192.168.10.20 的 IP 地 址 














图 13-5 反 向 解析 文件 中 IP 地 址 参数 规范 
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使 用 BIND 提供 域名 解析 服务 





[root@linuxprobe named]# cp -a named.loopback 192.168.10.arpa 


[root@linuxprobe named]# vim 192.168.10.arpa 


[root@linuxprobe named]# systemctl1 restart named 







































































修改 成 了 本 机 IP 地 址 ， 因 此 可 以 直接 使 月 


























$TTL 1D 

@ IN SOA linuxprobe.com. root.linuxprobe.com. ( 
0;serial 
1D;refresh 
lH;retry 
1Wiexpire 
3H );:minimum 

NS ns.linuxprobe.com. 

ns A 192.168.10.10 

10 PTR ns.linuxprobe.com. #PTR 为 指针 记录 ， 仅 用 于 反问 解析 

10 PTR mail.linuxprobe.com. 

10 PTR www.linuxprobe.com. 

20 PTR bbs.linuxprobe.com. 

第 3 步 : 检验 解析 结果 。 在 前 面 的 正 向 解析 实验 中 , 已 经 把 系统 网 卡 中 的 DNS 地 址 参数 





即 可 查询 到 对 应 的 域名 信息 。 








日 nslookup 命令 来 检验 解析 结果 ， 仅 需 输 入 IP 地 址 





> 192.168.10.10 
Server: 1T230 0 
Address: 127.0.0.1#53 
10.10.168.192.in-addr 


> 192.168.10.20 
Server: 127.0.0.1 
Address: 127.0.0.1#53 


205140168* 19271n=addrs 


.arpa 
10:10.168;192 .in-addr:; 
10s10.. T68192..1n=addr:; 


arpa 
arpa 


arpa 


[root@linuxprobe ~]# nslookup 


name 


name 


name 


name 


ns.linuxprobe.com. 
www.1inuxprobe.com. 


mail.linuxprobe.com. 


bbs.l1linuxprobe.com. 





| 13.3 ”部 署 从 服务 


口 口 
二 
[= [=] 





9 


检 
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f 才 能 提供 




















作为 重要 的 互联 网 基础 设施 服务 , 保证 DNS 域名 解析 服务 的 正常 运转 至 关 重 要 , 只 有 这 
稳定 、 快 速 旦 不 间断 的 域名 查询 服务 。 在 DNS 域名 解析 服务 中 ， 从 服务 器 可 以 从 
主 服务 器 上 获取 指定 的 区 域 数据 文件 ， 从 而 起 到 备份 解析 记录 与 负载 均衡 的 作用 ， 因 此 通过 
署 从 服务 器 可 以 减轻 主 服务 器 的 负载 压力 ， 还 可 以 提升 用 户 的 查询 效率 。 


在 本 实验 中 ， 主 服务 器 与 从 服务 器 分 别 使 用 的 操作 系统 和 卫 地 址 如 表 13-2 所 示 。 








13.3 部署 从 服务 器 








表 13-2 主 服务 器 与 从 服务 器 分 别 使 用 的 操作 系统 与 IP 地 址 信息 
主机 名 称 操作 系统 IP 地 址 
主 服务 顺 RHEL7 192.168.10.10 
从 服务 需 RHEL7 192.168.10.20 











第 1 步 : 在 主 服 务 顺 的 区 域 配置 文件 中 允许 该 从 服务 融 的 更 新 请 求 ， 即 修改 alow-update { 允 
午 更 新 区 域 信息 的 主机 地 址 ;}; 参 数 ， 然 后 重启 主 服务 器 的 DNS 服务 程序 。 














SR 





[root@linuxprobe ~]# vim /etc/named.rfc1912.zones 
Zone "linuxprobe.com" IN { 

type master; 

file "linuxprobe.com.zone"; 

allow-update { 192.168.10.20; }; 

}; 

zone "10.168.192.in-addr.arpa" IN { 

type master; 

file "192.168.10.arpa"; 

allow-update { 192.168.10.20; }; 

}; 

[root@linuxprobe ~]# Systemct1 restart named 








第 2 步 : 在 从 服务 器 中 填写 主 服 务 右 的 人 P 地 址 与 要 抓 取 的 区 域 信息 ， 然 后 重启 服务 。 注 意 
此 时 的 服务 类 型 应 该 是 slave ( 从 )， 而 不 再 是 master ( 主 )。masters 参数 后 面 应 该 为 主 服 务 咒 
的 卫 地 址 ， 而 且 file 参数 后 面 定 义 的 是 同步 数据 配置 文件 后 要 保存 到 的 位 置 ， 稍 后 可 以 在 该 
目录 内 看 到 同步 的 文件 。 






























































[root@linuxprobe ~]# vim /etc/named.rfc1912.zones 
Zone "linuxprobe.com" IN { 

type slave; 

masters { 192.168.10.10; }; 

file "slaves/linuxprobe.com.zone"; 

}; 

Zone "10.168.192.in-addr.arpa" IN { 

type slave; 

masters { 192.168.10.10; }; 

file "slaves/192.168.10.arpa"; 

}; 

[root@linuxprobe ~]# systemctl1 restart named 























第 3 步 : 检验 解析 结果 。 当 从 服务 器 的 DNS 服务 程序 在 重启 后 , 一 般 就 已 经 自动 从 主 服 
务 器 上 同步 了 数据 配置 文件 , 而 且 该 文件 默认 会 放置 在 区 域 配置 文件 中 所 定义 的 目录 位 置 中 。 
随后 修改 从 服务 器 的 网 络 参数 ,把 DNS 地 址 参数 修改 成 192.168.10.20, 这 样 即 可 使 用 从 服务 
器 自身 提供 的 DNS 域名 解析 服务 。 最 后 就 可 以 使 用 nslookup 命令 顺利 看 到 解析 结果 了 。 



































[root@linuxprobe ~]# cd /var/named/slaves 
[root@linuxprobe slaves]# ls 
192.168.10.arpa linuxprobe.com.zone 
[root@linuxprobe slaves]l# nslookup 

> www .linuxprobe.com 

Server: 192.168.10.20 

Address: 192.168.10.20#53 


Name: www.l1linuxprobe.com 
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使 用 BIND 提供 域名 解析 服务 


Address: 192.168.10.10 

> 192.168.10.10 

Server: 192.168.10.20 

Address: 192.168.10.20#53 
10.10.168.192.in-addr.arpa name 
10.10.168.192.in-addr.arpa name 
10.10.168.192.in-addr.arpa name 


www .1inuxprobe.com. 


ns.linuxprobe.com. 


mail.linuxprobe.com. 





| 13.4 ”安全 的 加 密 传输 








前 文 反复 提 及 ， 域 名 解析 服务 是 互联 网 基础 设施 中 重要 的 一 环 ， 几 乎 所 有 的 网 络 应 用 都 
依赖 于 DNS 才能 正常 运行 。 如 果 DNS 服务 发 生 故 障 ， 那么 即便 Web 网 站 或 电子 邮件 系统 服 
务 等 都 正常 运行 ， 用 户 也 无 法 找到 并 使 用 它们 了 。 

互联 网 中 的 绝 大 多 数 DNS 服务 器 ( 超过 95% ) 都 是 基于 BIND 域名 解析 服务 搭建 的 ， 而 
bind 服务 程序 为 了 提供 安全 的 解析 服务 ,已 经 对 TSIG( RFC 2845 ) 加 密 机 制 提供 了 支持 。TSIG 
主要 是 利用 了 密码 编码 的 方式 来 保护 区 域 信息 的 传输 ( Zone Transfer )， 即 TSIG 加 密 机 制 保 
证 了 DNS 服务 器 之 间 传 输 域名 区 域 信息 的 安全 性 。 

接 下 来 的 实验 依然 使 用 了 表 13-2 中 的 两 台 服 务 器 。 

书 接 上 回 。 前 面 在 从 服务 器 上 配 妥 bind 服务 程序 并 重启 后 ， 即 可 看 到 从 主 服 务 器 中 获取 
到 的 数据 配置 文件 。 



























































[root@linuxprobe ~]# ls -al /var/named/slaves/ 

total.. 12 

drwxrwx--—-. 2 named named 54 Uun 7 16:02 » 

drwxr-x--—-. 6 root named 4096 Jun 7 15:58 .. 

-rw-r--r--. 1 named named 432 Jun 7 16:02 192.168.10.arpa 
—rw-r--r--. 1 named named 439 Jun 7 16:02 linuxprobe.com.zone 





第 1 步 : 在 主 服 务 器 中 生成 密 钥 。dnssec-keygen 命令 用 于 生成 安全 的 DNS 服务 密 钥 ， 
其 格式 为 “dnssec-keygen [参数 ]”， 常 用 的 参数 以 及 作用 如 表 13-3 所 示 。 














表 13-3 dnssec-keygen 命令 的 常用 参数 
参数 作用 
-a 指定 加 密 算法 , 包括 RSAMD5 (RSA )、RSASHA1、DSA、NSEC3RSASHA1、NSEC3DSA 等 
-b 密 钥 长 度 (HMAC-MD5 的 密 钥 长 度 在 1~512 位 之 间 ) 
-n 密 钥 的 类 型 (HOST 表示 与 主机 相关 ) 











使 用 下 述 命令 生成 一 个 主机 名 称 为 master-slave 的 128 位 HMAC-MD5 算法 的 密 钥 文件 。 
在 执行 该 命令 后 默认 会 在 当前 目录 中 生成 公 钥 和 私 钥 文件 ， 我 们 需要 把 私 钥 文件 中 Key 参数 
后 面 的 值 记录 下 来 ， 一 会 儿 要 将 其 写 人 传输 配置 文件 中 。 














[root@linuxprobe ~]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave 
Kmaster-slave.+157+46845 

[root@linuxprobe ~]# ls -al Kmaster-slave.+157+46845.* 

Eh OA fr . 1 root root 56 Jun 7 16:06 Kmaster-slave.+157+46845.key 

二 大 二 一 一 二 二 二 二 . 1 root root 165 Jun 7 16:06 Kmaster-slave.+157+46845.private 
[root@linuxprobe ~]# cat Kmaster-slave.+157+46845.private 
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Private-key-format: V1.3 
Algorithm: 157 (HMAC MD5) 
Key: 1lXEEL3tGS5DNLOw+l1WHfE3Q== 
Bits: AAA= 

Created: 20170607080621 
Publish: 20170607080621 
Activate: 20170607080621 





第 2 步 :在 主 服 务 器 中 创建 密 钥 验证 文件 .进入 bind 服务 程序 用 于 保存 配置 文件 的 目录 ， 











把 刚刚 生成 的 密 钥 名称 、 加 密 算 法 和 私 钥 加 密 字 符 串 按照 下 面 格式 写 人 到 tansferkey 传输 配 
置 文件 中 。 为 了 安全 起 见 ， 我 们 需要 将 文件 的 所 属 组 修改 成 named， 并 将 文件 权限 设置 得 要 


小 























点 ， 然 后 把 该 文件 做 一 个 便 链 接 到 /etc 目录 中 。 











[root@linuxprobe ~]# cd /var/named/chroot/etc/ 
[root@linuxprobe etc]# vim transfer.key 

key "master-slave" { 

algorithm hmac-md5; 

secret "1XEEL3tG5DNLOw+1WHfE3Q=="; 

}; 

[root@linuxprobe ~]# chown root:named transfer.key 
[root@linuxprobe ~]# chmod 640 transfer.key 


[root@linuxprobe ~]# ln transfer.key /etc/transfer.key 





第 3 步 : 开启 并 加 载 Bind 服务 的 密 钥 验 证 功能 。 首先 需要 在 主 服 务 器 的 主 配置 文件 中 加 











载 密 钥 验证 文件 ， 然 后 进行 设置 ， 使 得 只 允许 带 有 master-slave 密 钥 认 证 的 DNS 服务 器 同步 
数据 配置 文件 : 








[root@linuxprobe ~]# vim /etc/named.conf 
a ef 
2 // named.conf 
3 
4 // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS 
5 // server as a caching only nameserver (as a localhost DNS resolver only). 
6 // 
7 // See /usr/share/doc/bind*/sample/ for example named configuration files. 
8 // 
9 include "/etc/transfer.key"; 
10 options { 
11 listen-on port 53 { any; }; 
12. 118sten on=v6 Port ,S33. {3 
13 directory "/var/named"; 
14 dump-file "/var/named/data/cache dump.db"; 
15 statistics-file "/var/named/data/named stats.txt"; 
16 memstatistics-file "/var/named/data/named mem stats.txt"; 
17 allow-query { any; }; 
18 allow-transfer { key master-slave; }; 
ee 省 略 部 分 输出 信息 


[root@linuxprobe ~]# Systemct1 restart named 





至 此 , DNS 主 服 务 器 的 TSIG 密 钥 加 密 传输 功能 就 已 经 配置 完成 。 此 时 清空 DNS 从 服务 





器 同步 目录 中 所 有 的 数据 配置 文件 ， 然 后 再 次 重启 bind 服务 程序 ， 这 时 就 已 经 不 能 像 刚才 那 
样 自 动 获取 到 数据 配置 文件 了 。 
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[root@linuxprobe ~]# rm -rf /var/named/slaves/* 
[root@linuxprobe ~]# systemctl1 restart named 
[root@linuxprobe ~]# ls /var/named/slaves/ 





相同 


第 4 步 : 配置 从 服务 器 , 使 其 支持 密 钥 验证 。 配置 DNS 从 服务 器 和 主 服务 器 的 方法 大 致 
， 都 需要 在 bind 服务 程序 的 配置 文件 目录 中 创建 密 钥 认证 文件 ， 并 设置 相应 的 权限 ， 然 























后 把 








该 文件 做 一 个 硬 链接 到 /etc 目录 中 。 





[root@linuxprobe ~]# cd /var/named/chroot/etc 
[root@linuxprobe etc]# vim transfer.key 

key "master-slave"™ { 

algorithm hmac-md5; 

secret "1XEEL3tG5DNLOw+1WHEE3Q==" 7 

}; 

[root@linuxprobe etc]# chown root:named transfer.key 
[root@linuxprobe etc]# chmod 640 transfer.key 
[root@linuxprobe etc]# ln transfer.key /etc/transfer.key 





件 中 
名 小 


完 预 








第 5 步 : 开启 并 加 载 从 服务 器 的 密 钥 验 证 功能 。 这 一 步 的 操作 步骤 也 同样 是 在 主 配 置 文 
加 载 密 钥 认证 文件 ， 然 后 按照 指定 格式 写 上 主 服 务 器 的 IP 地 址 和 密 钥 名 称 。 注 意 ， 密 钥 
等 参数 位 置 不 要 太 靠 前 ， 大 约 在 第 43 行 比较 合适 ， 和 否则 bind 服务 程序 会 因为 没有 加 载 
设 参数 而 报错 : 
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[root@linuxprobe etc]# vim /etc/named.conf 

Te 

2 // named.conf 

3 

4 // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS 
5 // server as a caching only nameserver (as a localhost DNS resolver only). 
6 3 

7 // See /usr/share/doc/bind*/sample/ for example named configuration files. 
8 // 

9 include "/etc/transfer.key"; 

10 options { 

Ll Tisten~on BoOrt S3127050. 1 > 

12 Jisten-on=y6 port. 53 { Se» 3; 

13 directory "/var/named"; 

14 dump-file "/var/named/data/cache dump.db"; 

15 statistics-file "/var/named/data/named stats.txt"; 

16 memstatistics-file "/var/named/data/named mem stats.txt"; 

17 allow-query { localhost; }; 


19. /x 

20 - If you are building an AUTHORITATIVE DNS server, do NOT enable recursion. 
21 - If you are building a RECURSIVE (caching) DNS server, you need to enable 
22 recursion. 

23 - If your recursive DNS server has a public IP address, you MUST enable access 
24 control to limit queries to your legitimate users. Failing to do so will 
25 cause your server to become part of large scale DNS amplification 

26 attacks. Implementing BCP38 within your network would greatly 

27 reduce such attack surface 

28: 4 


29 recursion yes; 


13.5 “部署 缓存 服务 器 


31 dnssec-enable yes; 

32 dnssec-validation yes; 

33 dnssec-lookaside auto; 

34 

35 /* Path to ISC DLV key */ 

36 bindkeys-file "/etc/named.iscdlv.Kkey"; 

3 

38 managed-keys-directory "/var/named/dynamic"; 
39 

40 pid-file "/run/named/named.pid"; 

41 session-keyfile "/run/named/session.key"; 


42 }; 

43 server 192.168.10.10 
44 { 

45 keys { master-slave; }; 
46 }; 


47 logging { 

48 channel default debug { 

49 file "data/named.run"; 

50 severity dynamic; 

51 }; 

52 }; 

5:3 

54 zone "." IN { 

55 七 YPe hint; 

56 file "named.ca"; 

53 中 3 

58 

59 include "/etc/named.rfc1912.zones"; 
60 include "/etc/named.root.key"; 
61 





第 6 步 : DNS 从 服务 器 同步 域名 区 域 数据 。 现 在 ,两 台 服务 器 的 bind 服务 程序 都 已 经 配 
置 受 当 ， 并 匹配 到 了 相同 的 密 钥 认 证 文件 。 接 下 来 在 从 服务 器 上 重启 bind 服务 程序 ， 可 以 发 
现 又 能 顺利 地 同步 到 数据 配置 文件 了 。 








[root@linuxprobe ~]# systemctl1 restart named 
[root@linuxprobe ~]# ls /var/named/slaves/ 
192.168.10.arpa linuxprobe.com.zone 





| 13.5 ”部署 缓存 服务 器 




















DNS 缓存 服务 器 ( Caching DNS Server ) 是 一 种 不 负责 域名 数据 维护 的 DNS 服务 器 。 简 单 
来 说 , 缓存 服务 器 就 是 把 用 户 经 常 使 用 到 的 域名 与 PP 地 址 的 解析 记录 保存 在 主机 本 地 ， 从 而 提 
升 下 次 解析 的 效率 。DNS 缓存 服务 器 一 般 用 于 经 常 访问 某 些 固定 站 点 而 且 对 这 些 网 站 的 访问 速 
度 有 较 高 要 求 的 企业 内 网 中 ， 但 实际 的 应 用 并 不 广泛 。 而 且 ， 缓 存 服务 器 是 否 可 以 成 功 解析 还 
与 指定 的 上 级 DNS 服务 器 的 允许 策略 有 关 ， 因 此 当前 仅 需 了 解 即 可 。 

第 1 步 : 配置 系统 的 双 网 卡 参数 。 前 面 讲 到 ， 缓 存 服务 器 一 般 用 于 企业 内 网 ， 旨 在 降低 
内 网 用 户 查 询 DNS 的 时 间 消 耗 。 因 此 ， 为 了 更 加 贴近 真实 的 网 络 环境 ， 实 现 外 网 查询 功能 ， 
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我 们 需要 在 缓存 服务 器 中 再 添加 一 块 网 卡 ， 并 按照 表 13-4 所 示 的 信息 来 配置 出 两 台 Linux 虚 
拟 机 系统 。 而 且 ， 还 需要 在 虚拟 机 软件 中 将 新 添加 的 网 卡 设置 为 “桥接 模式 ”， 然 后 设置 成 与 
物理 设备 相同 的 网 络 参数 ( 此 处 需要 大 家 按照 物理 设备 真实 的 网 络 参 数 来 配置 ， 图 13-6 所 示 
为 以 DHCP 方式 获取 IP 地 址 与 网 关 等 信息 ， 重 启 网 络 服务 后 的 效果 如 图 13-7 所 示 )。 























表 13-4 用 于 配置 Linux 虚拟 机 系统 所 需 的 参数 信息 
主机 名 称 操作 系统 IP 地 址 
网 卡 ( 外 网 ): 根据 物理 设备 的 网 络 参 数 进行 配置 (通过 
缓存 服务 器 RHEL 7 DHCP 或 手动 方式 指定 IP 地 址 与 网 关 等 信息 ) 
网 卡 〈 内 网 ): 192.168.10.10 
客户 端 RHEL7 192.168.10.20 











File 





Edit View Search Terminal Help 


= IPv4 CONFIGURATION <Automatic> 
= IPv6 CONFIGURATION <Automatic> 


[ 


Profile name 
Device 


ETHERNET 


] Automatically connect 
[X] Available to all users 





root@Llinuxprobe:~/Desktop - | 口 


Edit connection 


<Show> 


<Show> 
<Show> 


<CanceL> 图 要 








图 13-6 


以 DHCP 方式 获取 网 络 参 数 





Lo : 





eno16777736 : 


eno33554984 : 


File Edit View Search Terminal 


[root@linuxprobe Desktop]# ifconfig 
flags=4163<UP,BROADCAST ,RUNNING ,MULTICAST> 


inet 192.168.1.104 
inet6 fe80::20c:29ff 


RX errors 9 dropped 
TX packets 53 bytes 
TX errors © dropped 


inet 192.168.10.10 


RX packets 76 bytes 
RX errors © dropped 
X packets 29 bytes 
X errors 9 dropped 


flags=73<UP ,LOOPBACK ,RUNNING> 


inet 127.0.0.1 
inet6 ::1 prefixlen 
oop txqueuelen 0 


RX errors 9 dropped 





X errors 9 dropped 


netmask 255.255.255.0 broadcast 192.168.1.255 
:feab:aaaf 
ether 00:0c:29:ab:aa: 
RX packets 508 bytes 39687 (38.7 KiB) 


flags=4163<UP,BROADCAST ,RUNNING, MULTICAST> 
netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80::20c:29ff: 
ether 00:0c:29:ab:aa: 


netmask 255.0.0.0 


(Local Loopback) 
RX packets 905 bytes 73464 (71.7 KiB) 


X packets 905 bytes 73464 (71.7 KiB) 


root@linuxprobe:~/Desktop =- _| 口 
Help 


mtu 1500 


prefixlen 64 scopeid Ox20<link> 


af txqueuelen 1000 (Ethernet) 


9 overruns 0 frame 0 桥接 网 卡 
6835 (6.6 KiB) 
0 overruns © carrier © collisions 0 


mtu 1500 


feab:aab9 prefixlen 64 
b9 txqueuelen 1000 


7596 (7.4 KiB) 一 
frame 0 【 仅 主 机 模式 网 卡 


0 overruns 0 
carrier 0 


scopeid Ox20<link> 
(Ethernet) 


4221 (4.1 KiB) 
0 overruns 0 collisions 0 
mtu 65536 


128 scopeid 0x19<host> 


9 overruns 0 frame 0 


9 overruns © carrier 9 collisions 0 
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图 13-7 


查看 网 卡 的 工作 状态 


13.5 部署 缓 存 服务 器 


第 2 步 : 在 bind 服务 程序 的 主 配 置 文件 中 添加 缓存 转发 参数 。 在 大 约 第 17 行 处 添加 一 


行 参数 





“forwarders { 上 级 DNS 服务 器 地 址 ; };”， 上 级 DNS 服务 器 地 址 指 的 是 获取 数据 配置 


文件 的 服务 器 。 考 虑 到 查询 速度 、 稳 定性 、 安 全 性 等 因素 ， 刘 道 老 师 在 这 里 使 用 的 是 北京 市 
公共 DNS 服务 器 的 地 址 210.73.64.1。 如 果 大 家 也 使 用 该 地 址 ， 请 先 测试 是 否 可 以 ping 通 ， 
以 免 导致 DNS 域名 解析 失败 。 





[root@linuxprobe ~]# vim /etc/named.conf 


”的 i A to Fs 


EN a i 





LL 


yh 

// named.conf 

// 

// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS 
// server as a caching only nameserver (as a localhost DNS resolver only). 
ii/ 

// See /usr/share/doc/bind*/sample/ for example named configuration files. 
A 

options { 

listen-on port 53 { any; }; 

listen-on-v6 port 53 { ::1; }; 

directory "/var/named"; 

dump-file "/var/named/data/cache dump.db"; 

statistics-file "/var/named/data/named stats.txt"; 

memstatistics-file "/var/named/data/named mem stats.txt"; 

allow-query { any; }; 

forwarders { 210.73.64.1; }; 


i 省 略 部 分 输出 信息 


oot@linuxprobe ~]# systemctl1 restart named 





第 3 步 : 重启 DNS 服务 ,验证 成 果 。 把 客户 端 主机 的 DNS 服务 器 地 址 参数 修改 为 DNS 
缓存 服务 器 的 IP 地址 192.168.10.10， 如 图 13-8 所 示 。 这 样 即 可 让 客户 端 使 用 本 地 DNS 缓存 
服务 器 提供 的 域名 查询 解析 服务 。 





root@localhost:~/Desktop - | 日 
File Edit View Search Terminal Help 
Edit connection 


Profile name Bgk 
Device a 


= ETHERNET 
IPv4 CONFIGURATION 


Addresses EE 24 <Remove> 


<Remove> 


Search domains <Add...> 


Routing (No custom routes) <Edit...> 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 








图 13-8 设置 客户 端 主机 的 DNS 服务 器 地 址 参数 
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在 将 客户 端 主机 的 网 络 参 数 设置 妥当 后 重启 网 络 服务 ， 即 可 使 用 nslookup 命令 来 验 
证 实验 结果 ( 如 果 解 析 失 败 ,请 读者 留意 是 否 是 上 级 DNS 服务 器 选择 的 问题 ), 其 中 ,Server 
参数 为 域名 解析 记录 提供 的 服务 器 地 址 ， 因 此 可 见 是 由 本 地 DNS 缓存 服务 器 提供 的 解析 
内 容 。 














[root@linuxprobe ~]# nslookup 
> www .linuxprobe.com 

Server: 192.168.10.10 
Address: 192.168.10.10#53 


Non-authoritative answer: 
Name: www.linuxprobe.com 
Address: 113.207.76.73 
Name: www.l1linuxprobe.com 
Address: 116.211.121.154 
> 8.8.8.8 

Server: 192.168.10.10 
Address: 192.168.10.10#53 


Non-authoritative answer: 
8.8.8.8.in-addr.arpa name = google-public-dns-a.google.com. 
Authoritative answers can be found from: 


in-addr.arpa nameserver = f.in-addr-servers.arpa. 
in-addr.arpa nameserver = b.in-addr-servers.arpa. 
in-addr.arpa nameserver = a.in-addr-servers.arpa. 
in-addr.arpa nameserver = e.in-addr-servers.arpa. 
in-addr.arpa nameserver = d.in-addr-servers.arpa. 
in-addr.arpa nameserver = c.in-addr-servers.arpa. 


a.in-addr-servers.arpa internet address = 199.212.0.73 
a.in-addr-servers.arpa has AAAA address 2001:500:13::73 
b.in-addr-servers.arpa internet address = 199.253.183.183 
b.in-addr-servers.arpa has AAAA address 2001:500:87::87 
c.in-addr-servers.arpa internet address = 196.216.169.10 
c.in-addr-servers.arpa has AAAA address 2001:43f8:110::10 
d.in-addr-servers.arpa internet address = 200.10.60.53 
d.in-addr-servers.arpa has AAAA address 2001:13c7:7010::53 
e.in-addr-servers.arpa internet address = 203.119.86.101 
e.in-addr-servers.arpa has AAAA address 2001:dd8:6::101 
f.in-addr-servers.arpa internet address = 193.0.9.1 

f 


.in-addr-servers.arpa has AAAA address 2001:67c:e0::1 
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现在 ， 喜 欢 看 我 们 这 本 《Linux 就 该 这 么 学 》 的 海外 读者 越 来 越 多 ， 如 果 继 续 把 本 
书 配套 的 网 站 服务 器 ( http://www.linuxprobe.com ) 架设 在 北京 市 的 机 房 内 ， 则 海外 读者 
的 访问 速度 势必 会 很 慢 。 可 如 果 把 服务 需 架 设 在 美国 那 边 的 机 房 ， 也 将 增 大 国内 读者 的 
访问 难度 。 

为 了 满足 海内 外 读者 的 需求 ， 外 加 刘 递 老师 不 差 钱 ， 于 是 可 以 购买 多 台 服 务 器 并 分 别 
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部 署 在 全 球 各 地 ， 然 后 再 使 用 DNS 服务 的 分 离 解析 功能 ， 即 可 让 位 于 不 同 地 理 范 围 内 的 读 
者 通过 访问 相同 的 网 址 , 而 从 不 同 的 服务 器 获取 到 相同 的 数据 。 例如 , 我 们 可 以 按照 表 13-5 
所 示 ， 分 别 为 处 于 北京 的 DNS 服务 器 和 处 于 美国 的 DNS 服务 右 分 配 不 同 的 IP 地 址 ， 然 后 
让 国内 读者 在 访问 时 自动 匹配 到 北京 的 服务 器 ， 而 让 海外 读者 自动 匹配 到 美国 的 服务 器 ， 
如 图 13-9 所 示 。 



































表 13-5 不 同 主机 的 操作 系统 与 IP 地 址 情况 
主机 名 称 操作 系统 IP 地 址 
北京 网 络 : 122.71.115.10 
DNS 服务 器 RHEL7 
美国 网 络 : 106.185.25.10 
国内 读者 Windows 7 122.71.115.1 
海外 读者 Windows7 106.185.25.1 





Cd 


国内 读者 : 122.71.115.1 北京 机 房 : 122.71.115.15 





eno16777736:122.71.115.10 
侯 eno33554984:106.185.25.10 


证 
全 


海外 读者 : 106.185.25.1 美国 机 房 : 106.185.25.15 
图 13-9 DNS 分 离 解析 技术 


为 了 解决 海外 读者 访问 http://www.Linuxprobe.com 时 的 速度 问题 ， 刘 雍 老 师 已 经 在 美 
机 房 购 买 并 架设 好 了 相应 的 网 站 服务 天 , 接 下 来 需要 手动 部 署 DNS 服务 融 并 实现 分 离 解析 功 
能 ， 以 便 让 不 同 地 理 区 域 的 读者 在 访问 相同 的 域名 时 ， 能 解析 出 不 同 的 IP 地 址 。 


建议 大 家 将 虚拟 机 还 原 到 初始 状态 ， 并 重新 安装 bind 服务 程序 ， 以 免 多 个 实验 之 
间 相 互 产生 冲突 。 




















第 1 步 : 修改 bind 服务 程序 的 主 配 置 文件 ,把 第 11 行 的 监听 端口 与 第 17 行 的 允许 查询 
主机 修改 为 any。 由 于 配置 的 DNS 分 离 解析 功能 与 DNS 根 服务 器 配置 参数 有 冲突 , 所 以 需要 
把 第 51~54 行 的 根 域 信息 删除 。 























[root@linuxprobe ~]# vim /etc/named.conf 
ee 省 略 部 分 输出 信息 
44 logging { 
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45 channel default debug { 


46 file "data/named.run"; 


47 severity dynamic; 
48 }; 
49 }; 





56 include "/etc/named.rfc1912.zones"; 


57 include "/etc/named.root.key"; 


ae 省 略 部 分 输出 信息 


























第 2 步 : 编辑 区 域 配置 文件 。 把 区 域 配置 文件 中 原 有 的 数据 清空 ， 然 后 按照 以 下 格式 写 


人 参数 
地 址 时 
是 理解 
分 别 加 
把 相应 
当中 国 

















。 首 先 使 用 acl 参数 分 别 定义 两 个 变量 名 称 ( china 与 american )， 当 下 面 需 要 匹配 IP 
只 需 写 人 变量 名 称 即 可 ， 这 样 不 仅 容易 阅读 识别 ， 而 且 也 利于 修改 维护 。 这 里 的 难点 
view 参数 的 作用 。 它 的 作用 是 通过 判断 用 户 的 IP 地 址 是 中 国 的 还 是 美国 的 ， 然 后 去 
载 不 同 的 数据 配置 文件 (linuxprobe.com.china 或 linuxprobe.com.american )。 这 样 ， 当 
的 IP 地 址 分 别 写 人 到 数据 配置 文件 后 ， 即 可 实现 DNS 的 分 离 解析 功能 。 这 样 一 来 ， 

的 用 户 访问 linuxprobe.com 域名 时 ， 便 会 按照 linuxprobe.com.china 数据 配置 文件 内 的 






































IP 地 址 找到 对 应 的 服务 需 。 





[root@linuxprobe ~]# vim /etc/named.zfc1912.zones 


DR I i 


0 
2 
L3 

4 

5 

6 





acl "china™ { 122.71.115.0/24; }; 
acl "american" { 106.185.25.0/24;}; 
View "china"t{ 
match-clients { "china"; }; 

Zone "linuxprobe.com" { 
type master; 

file "linuxprobe.com.china"; 

}; 

}; 

View "american™" { 

match-clients { "american"; }; 
Zone "linuxprobe.com" { 

type master; 

file "linuxprobe.com.american"; 
}; 

}; 





第 








3 步 : 建立 数据 配置 文件 。 分 别 通过 模板 文件 创建 出 两 份 不 同名 称 的 区 域 数据 文件 ， 





其 名 称 应 与 上 面 区 域 配置 文件 中 的 参数 相对 应 。 











ER 
FE 
| 下 


Fw 


oot@linuxprobe ~]# cd /var/named 
oot@linuxprobe named]# cp -a named.localhost linuxprobe.com.china 
oot@linuxprobe named]# cp -a named.localhost linuxprobe.com.american 


oot@linuxprobe named]# vim linuxprobe.com.china 
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13.6 分离 解析 技术 










































































$TTL 1D | # 生 存 周期 为 1 天 

@ IN SOA | linuxprobe.com. root.linuxprobe.com. | ( 

# 授 权 信息 开始 #DNS 区 域 的 地 址 | # 域 名 管理 员 的 邮箱 ( 不 要 用 @ 符 号 ) 
0;serial # 更 新 序列 号 
1Direfresh # 更 新 时 间 
1Hiretry # 重 试 延 时 
1W;expire # 失 效 时 间 
a # 无 效 解析 记录 的 

缓存 时 间 
NS ns.linuxprobe.com. # 域 名 服务 器 记录 
ns INA 122.71.115.10 # 地 址 记录 (ns.linuxprobe.com. ) 
WwW IN A 122.71.115.15 # 地 址 记录 ( www.linuxprobe.com. ) 














[root@linuxprobe named]# vim linuxprobe.com.American 




























































































$TTL 1D | # 生 存 周 期 为 1 天 

@ INSOA | linuxprobe.com. root.linuxprobe.com. | ( 

# 授 权 信息 开始 #DNS 区 域 的 地 址 | # 域 名 管理 员 的 邮箱 ( 不 要 用 @ 符 号 
0;serial # 和 更 新 序列 号 
1Direfresh # 更 新 时 间 
lH;retry # 重 试 延 时 
1W;expire # 失 效 时 间 
ep # 无 效 解析 记录 的 

缓存 时 间 
NS ns.linuxprobe.com. # 域 名 服务 器 记录 
ns INA 106.185.25.10 # 地 址 记录 (ns.linuxprobe.com. ) 
WwW INA 106.185.25.15 # 地 址 记录 ( www.linuxprobe.com. ) 





第 4 步 : 重新 启动 named 服务 程序 ， 验 订 








FE 结果。 将 客户 端 主机 (Windows 系统 或 Linux 


系统 均 可 ) 的 IP 地 址 分 别 设置 为 122.71.115.1 与 106.185.25.1， 将 DNS 地 址 分 别 设置 为 服务 
有 nslookup 命令 解析 域名 时 就 能 清晰 地 看 到 解析 结 


人 碎 主 机 的 两 个 IP1 








弛 二 








分 别 如 图 13-10 与 图 13-11 所 示 。 


止 。 这 样 , 当 尝 试 使 月 
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使 用 BIND 提供 域名 解析 服务 


EB C\Windows\system32\cmd.exe 已 | 加 区 下 VIPv4) | 
ITTTTTTTTESTREEC2T7O 二 
并 有 《“c》 2889 Microsoft Corporation。 留 所 有 权利 。 





Nsers\linuxprobe>nslookup www.-1linuxprohbe .com 于 何事 
服 : UnKnown 
| Fo 
和 : www .1inuxprobe .com 模拟 中 国 的 用 户 址 G) 
Address: 122.7?1.115.15 122. 后 
255 .255 .255 . 0 

GC:\Users\linuxprobe> be | 

睹 器 地 址 @) 

服务 器 地 址 名 

品 高 级 WW). 















图 13-10 ”模拟 中 国 用 户 的 域名 解析 操作 


EC\Windows\system32\cmd.exe io -| 区 到 
icrosoft Windows [h 民 本 6.1.?6811] a 
版权 所 有 《c》2889 Microsoft Corporation。 和 保留 所 有 权利 。 = 
2& 


sers\linuxprobe>nslookup www.linuxprobe.com 
- UnkKnown 


: 196.185.25.190 值 


www -Tinuxprohbe -com 模拟 美国 的 用 户 


ress: 106.185.25.15 





aa Intel (R) PRO/1000 NT Network Conr 
nn0-Dr-29-ITD-DT-4F 





瑟 
106. 185. 25.1 


C: NJsers\linuxprobe> 
255. 255. 255.0 


106. 185. 25. 10 
106. 185. 25. 10 


旦 


十 
[ fse80: :da9:9e2:a87:8028%11 





关闭 (C) 











图 13-11 模拟 美国 用 户 的 域名 解析 











| 复习 题 




















1. DNS 技术 提供 的 三 种 类 型 的 服务 器 分 别 是 什么 ? 
答 : DNS 主 服务 器 、DNS 从 服务 器 与 DNS 缓存 服务 器 。 





2. DNS 服务 絮 之 间 传 输 区 域 数据 文件 时 ,使 用 的 是 递归 查询 还 是 迭代 查询 ? 
答 : DNS 服务 吉之 间 是 迭代 查询 ， 用 户 与 DNS 服务 带 之 间 是 递归 查询 。 
































3. 在 Linux 系统 中 使 用 Bind 服务 程序 部 署 DNS 服务 时 ， 为 什么 推荐 安装 chroot 插件 ? 
答 : 能 有 效 地 限制 Bind 服务 程序 仅 能 对 自身 的 配置 文件 进行 操作 ， 以 确保 整个 服务 器 的 
安全 。 
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.在 DNS 服务 中 ， 正 向 解析 和 反 向 解析 的 作用 是 什么 ? 
答 : 正 向 解析 是 将 指定 的 域名 转换 为 IP 地 址 ， 而 反 向 解析 则 是 将 IP 地 址 转换 为 域名 。 正 
向 解析 模式 更 为 常用 。 





























.是 否 可 以 限制 使 用 DNS 域名 解析 服务 的 主机 ?如 何 限制 ? 
答 : 是 的 ， 修 改 主 配置 文件 中 第 17 行 的 allow-query 参数 即 可 。 


























.部 署 DNS 从 服务 器 的 作用 是 什么 ? 
答 : 部 署 从 服务 器 可 以 减轻 主 服务 器 的 负载 压力 ， 还 可 以 提升 用 户 的 查询 效率 。 














. 当 用 户 与 DNS 服务 器 之 间 传 输 数 据 配 置 文件 时 , 是 否 可 以 使 用 TSIG 加 密 机 制 来 确保 文件 
内 容 不 被 算 改 ? 
答 : 不 能 ，TSIG 加 密 机 制 保障 的 是 DNS 服务 器 与 DNS 服务 器 之 间 和 迭代 查询 的 安全 。 


























.部 署 DNS 缓存 服务 器 的 作用 是 什么 ? 

答 : DNS 缓存 服务 器 把 用 户 经 常 使 用 到 的 域名 与 IP 地 址 的 解析 记录 保存 在 主机 本 地 ， 从 
而 提升 下 次 解析 的 效率 。 一 般 用 于 经 常 访问 某 些 固定 站 点 而 且 对 这 些 网 站 的 访问 速度 有 较 
高 要 求 的 企业 内 网 中 ， 但 实际 的 应 用 并 不 广泛 。 

















DNS 分 离 解析 技术 的 作用 是 什么 ? 
答 : 可 以 让 位 于 不 同 地 理 范 围 内 的 读者 通过 访问 相同 的 网 址 ， 而 从 不 同 的 服务 顺 获 取 到 相 
同 的 数据 ， 以 提升 访问 效率 。 
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EBERLE 14 章 


使 用 DHCP 动态 管理 主机 地 址 


本 章 讲解 了 如 下 内 容 : 


动态 主机 配置 协议 ; 
部 署 dhcpd 服务 程序 ; 
自动 管理 IP 地 址 ; 
分 配 固定 IP 地 址 。 


VV vyvyv 




















本 章 讲 解 动态 主机 配置 协议 (DHCP，Dynamic Host Configuration Protocol ), 该 协议 用 于 
自动 管理 局 域 网 内 主机 的 卫 地 址 、 子 网 掩 码 、 网 关 地 址 及 DNS 地 址 等 参数 ， 可 以 有 效 地 提 
升 卫 地 址 的 利用 率 ， 提 高 配置 效率 ， 并 降低 管理 与 维护 成 本 。 

本 章 详细 讲解 了 在 Linux 系统 中 配置 部 署 dhcpd 服务 程序 的 方法 ,剖析 了 dhcpd 服务 程 
序 配置 文件 内 每 个 参数 的 作用 ， 并 通过 自动 分 配 IP 地 址 、 绑 定 IP 地 址 与 MAC 地 址 等 实验 ， 
证 各 位 读者 更 直观 地 体会 DHCP 协议 的 强大 之 处 。 
























































| 14.1 动态 主机 配置 协议 




















动态 主机 配置 协议 (DHCP ) 是 一 种 基于 UDP 协议 且 仅 限于 在 局 域 网 内 部 使 用 的 网 络 协 
议 , 主要 用 于 大 型 的 局 域 网 环境 或 者 存在 较 多 移动 办 公设 备 的 局 域 网 环境 中 ， 其 主要 用 途 是 
为 局 域 网 内 部 的 设备 或 网 络 供应 商 自 动 分 配 卫 地 址 等 参数 。 

简单 来 说 ，DHCP 协议 就 是 让 局 域 网 中 的 主机 自动 获得 网 络 参 数 的 服务 。 在 图 14-1 所 示 的 
拓扑 图 中 存在 多 台 主 机 ， 如 果 手 动 配置 每 台 主 机 的 网 络 参 数 会 相当 麻烦 ， 日 后 维护 起 来 也 让 人 头 
大 。 而 且 当 机 房 内 的 主机 数量 进一步 增加 时 ( 比如 有 100 台 ， 甚 至 1000 台 )， 这 个 手动 配置 以 及 
维护 工作 的 工作 量 足 以 让 运 维 人 员 崩 溃 。 借 助 于 DHCP 协议 , 不 仅 可 以 为 主机 自动 分 配 网 络 参数 ， 
还 可 以 确保 主机 使 用 的 卫 地 址 是 唯一 的 ， 更 重要 的 是 ， 还 能 为 特定 主机 分 配 固定 的 卫 地 址 。 

DHCP 协议 的 应 用 十 分 广泛 ， 无论 是 服务 器 机 房 还 是 家 庭 、 机 场 、 咖 啡 馆 ， 都 会 见 到 它 
的 身影 。 比 如 ， 本 书 的 某 位 读者 开 了 一 家 咖啡 厅 ， 在 为 顾客 提供 咖啡 的 同时 ， 还 为 顾客 免费 
提供 无 线 上 网 服务 。 这 样 一 来 ， 顾 客 就 可 以 一 边民 意 地 喝 着 咖啡 ， 一 边 连 着 无 线 网 络 刷 朋友 
圈 了 。 但 是 ， 作 为 咖啡 厅 老 板 的 您 ， 肯 定 不 希望 (也 没有 时 间 ) 为 每 一 位 造访 的 顾客 手动 设 
置 IP 地 址 、 子 网 掩 码 、 网 关 地 址 等 信息 。 另 外 ， 考 虑 到 咖啡 馆 使 用 的 内 网 网 段 一 般 为 
192.168.10.0/24 (CC 类 私有 地 址 )， 最 多 能 容纳 的 主机 数 为 200 多 台 。 而 咖啡 厅 一 天 的 客流 量 
肯定 不 止 200 人 。 如 果 采 用 手动 方式 为 他 们 分 配 IP 地 址 ， 则 当 他 们 在 离开 咖啡 厅 时 并 不 会 自 





































































































14.2 部署 dhcpd 服务 程序 


动 释放 这 个 IP 地 址 ， 这 就 可 能 出 现 IP 地 址 不 够 用 的 情况 。 这 一 方面 会 造成 IP 地 址 的 浪费 ， 
另外 一 方面 也 增加 的 IP 地址 的 管理 成 本 。 而 使 用 DHCP 协议 , 这 一 切 都 迎刃而解 一 一 老板 只 
需 安心 服务 好 顾客 ， 为 其 提供 美味 的 咖啡 ;顾客 通过 运行 DHCP 协议 的 服务 器 自动 获得 上 网 
所 需 的 了 PP 地址， 等 离开 咖啡 厅 时 IP 地 址 将 被 DHCP 服务 器 收回 ， 以 备 其 他 顾客 使 用 。 














DHCP 服务 器 
192.168.10.0/24 


192.168.10.1 192.168.10.2 192.168.10.3 192.168.10.4 192.168.10.5 192.168.10.6 
图 14-1 DHCP 协议 的 拓扑 示意 图 


既然 确定 在 今后 的 生产 环境 中 肯定 离 不 开 DHCP 了 ， 那么 也 就 有 必要 好 好 地 熟悉 一 下 
DHCP 涉及 的 常见 术语 了 。 
> 作用 域 : 一 个 完整 的 卫 地 址 段 ，DHCP 协议 根据 作用 域 来 管理 网 络 的 分 布 、 分 配 IP 
地 址 及 其 他 配置 参数 。 
> 超级 作用 域 : 用 于 管理 处 于 同一 个 物理 网 络 中 的 多 个 逻辑 子 网 段 。 超 级 作用 域 中 包含 
了 可 以 统一 管理 的 作用 域 列表 。 
> 排除 范围 : 把 作用 域 中 的 某 些 IP 地 址 排除 ， 确 保 这 些 卫 地 址 不 会 分 配给 DHCP 





















































客户 端 。 
> 地 址 池 : 在 定义 了 DHCP 的 作用 域 并 应 用 了 排除 范围 后 ,剩余 的 用 来 动态 分 配给 DHCP 
客户 端的 卫 地 址 范围 。 





> 租约 : DHCP 客户 端 能 够 使 用 动态 分 配 的 IP 地 址 的 时 间 。 
> 预约 : 保证 网 络 中 的 特定 设备 总 是 获取 到 相同 的 卫 地 址 。 


14.2 部署 dhcpd 服务 程序 





dhcpd 是 Linux 系统 中 用 于 提供 DHCP 协议 的 服务 程序 。 尽 管 DHCP 协议 的 功能 十 分 强 
大 ,但 是 dhcpd 服务 程序 的 配置 步骤 却 十 分 简单 ， 这 也 在 很 大 程度 上 降低 了 在 Linux 中 实现 
动态 主机 管理 服务 的 门槛 。 

在 确认 Yum 软件 仓库 配置 妥当 之 后 ， 安 装 dhcpd 服务 程序 : 


























[root@linuxprobe ~]# yum install dhcp 

Loaded plugins: langpacks, product-id, subscription-manager 

This system is not registered to Red Hat Subscription Management. You can use 
subscription-manager to register. 

rhel | 4.1 kB 00:00 
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使 用 DHCP 动态 管理 主机 地 址 


Resolving Dependencies 

--> Running transaction check 

---> Package dhcp.x86 64 12:4.2.5-27.el7 will be installed 
--> Finished Dependency Resolution 

Dependencies Resolved 








Package Arch Version Repository Size 








Installing: 
dhcp x86 64 12:4.2.5-27.el17 rhel 506 k 


Transaction Summary 








Install 1 Package 

Total download size: 506 k 
Installed size: 1.4 M 

Is this ok [y/d/N]: y 
Downloading packages: 





Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 

Installing : 12:dqhcp-4.2.5-27.e17.x86 64 1/1 
Verifying : 12:dhcp-4.2.5-27.e17.x86_64 1/1 
Installed: 

dhcp.x86 64 12:4.2.5-27.el7 
Complete! 











查看 dhcpd 服务 程序 的 配置 文件 内 容 。 








root@linuxprobe ~]# cat /etc/dhcp/dhcpd.conf 
DHCP Server Configuration file. 

see /usr/share/doc/dhcp*/dhcpd.conf.example 
see dhcpd.conf (5) man page 











是 的 ， 您 没有 看 错 ! dhcp 的 服务 程序 的 配置 文件 中 只 有 3 行 注释 语句 ， 这 意味 着 我 们 需 
要 自行 编写 这 个 文件 。 如 果 读 者 不 知道 怎么 编写 ， 可 以 看 一 下 配置 文件 中 第 2 行 的 参考 示例 
文件 ， 其 组 成 架构 如 图 14-2 所 示 。 


广 


























[root@linuxprobe ~ ]# vim /etc/dhcp/dhcpd.conf 
ddns-update-style interinm: 

, : 全 局 配置 参数 

innore client-updates 

subnet 192.168.10.0 netmask 255.255.255.0 


1 routers 192.168.10.1; 


PP 七 IO 
ption subnet-mask 255.255.255.0; 


default-lease-time 21600: 


max-lease-time 43200; 地 址 配置 参数 














图 14-2 ”dhcpd 服务 程序 配置 文件 的 架构 


一 个 标准 的 配置 文件 应 该 包括 全 局 配置 参数 、 子 网 网 段 声 明 、 地 址 配置 选项 以 及 地 址 配 
置 参数 。 其 中 ， 全 局 配置 参数 用 于 定义 dhcpd 服务 程序 的 整体 运行 参数 ; 子 网 网 段 声明 用 于 
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配置 整个 子 网 段 的 地 址 属性 。 














14.3 自动 管理 IP 地 址 


考虑 到 dhcpd 服务 程序 配置 文件 的 可 用 参数 比较 多 ， 刘 六 老师 挑选 了 最 常用 的 参数 ( 见 





表 14-1 )， 并 逐一 进行 了 简单 介绍 ， 


以 便 为 接 下 来 的 实验 打 好 基础 。 








表 14-1 dhcpd 服务 程序 配置 文件 中 使 用 的 常见 参数 以 及 作用 
参数 作用 
定义 DNS 服务 动态 更 新 的 类 型 ， 类 型 包括 none (不支 
ddns-update-style [类 型 ] 持 动态 更 新 )、interim ( 互动 更 新 模式 ) 与 ad-hoc ( 特 











殊 更 新 模式 ) 





[allow | ignore] client-updates 


允许 /忽略 客户 端 更 新 DNS 记录 








default-lease-time [21600] 


默认 超时 时 间 





max-lease-time [43200] 





最 大 超时 时 间 






































option domain-name-servers [8.8.8.8] | 定义 DNS 服务 器 地 址 
option domain-name ["domain.org"] 定义 DNS 域名 

range 定义 用 于 分 配 的 卫 地 址 池 
option subnet-mask 定义 客户 端的 子 网 扼 人 码 
option routers 定义 客户 端的 网 关 地 址 





broadcase-address [广播 地 址 ] 


定义 客户 端的 广播 地 址 





ntp-server[IP 地 址 ] 


定义 客户 端的 网 络 时 间 服 务 器 (NTP ) 





nis-servers[IP 地 址 ] 


定义 客户 端的 NIS 域 服务 器 的 地 址 





Hardware [网卡 物理 地 址 ] 


指定 网 卡 接口 的 类 型 与 MAC 地 址 





server-name [主机 名 ] 


向 DHCP 客户 端 通知 DHCP 服务 器 的 主机 名 








IP 地 址 ] 


fixed-address 


将 某 个 固定 的 人 P 地 址 分 配给 指定 主机 








time-offset [ 偏 移 误 差 ] 


| 14.3 ”自动 管理 IP 地 址 











指定 客户 端 与 格林 尼 治 时 间 的 偏 移 差 

















DHCP 协议 的 设计 初衷 是 为 了 更 高 效 地 集中 管理 局 域 网 内 的 卫 地 址 资源 。DHCP 服务 器 会 
自动 把 IP 地 址 、 子 网 掩 码 、 网 关 、DNS 地 址 等 网 络 信息 分 配给 有 需要 的 客户 端 ， 而 且 当 客户 端 
的 租约 时 间 到 期 后 还 可 以 自动 回收 所 分 配 的 卫 地 址 ， 以 便 交 给 新 加 入 的 客户 端 。 

为 了 让 实验 更 有 挑战 性 ， 刘 邀 老 师 来 模拟 一 个 真实 生产 环境 的 需求 : 

“机 房 运营 部 门 : 明天 会 有 100 名 学 员 自 带 笔记 本 电脑 来 我 司 培训 学 习 ， 请 保证 他 
们 能 够 使 用 机 房 的 本 地 DHCP 服务 器 自动 获取 IP 地址 并 正常 上 网 ”。 

机 房 所 用 的 网 络 地 址 及 参数 信息 如 表 14-2 所 示 。 















































表 14-2 机 房 所 用 的 网 络 地 址 以 及 参数 信息 
参数 名 称 值 
默认 租约 时 间 21600 秒 
最 大 租约 时 间 43200 秒 

















IP 地 址 范围 








192.168.10.50~192.168.10.150 
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参数 名 称 值 
子 网 掩 码 255.255.255.0 
网 关 地 址 192.168.10.1 
DNS 服务 器 地 址 192.168.10.1 
搜索 域 linuxprobe.com 





在 了 解 了 真实 需求 以 及 机 房 网 络 中 的 配置 参数 之 后 , 我 们 按照 表 14-3 来 配置 DHCP 服务 
器 以 及 客户 端 。 











表 14-3 DHCP 服务 器 以 及 客户 端的 配置 信息 
主机 类 型 操作 系统 IP 地 址 
DHCP 服务 需 RHEL7 192.168.10.1 
DHCP 客户 端 RHEL7 自动 获取 









































前 文 讲 到 ， 作 用 域 一 般 是 个 完整 的 IP 地 址 段 ， 而 地 址 池 中 的 PP 地 址 才 是 真正 供 客户 端 
使 用 的 ， 因 此 地 址 池 应 该 小 于 或 等 于 作用 域 的 IP 地 址 范围 。 另 外 ， 由 于 VMware Workstation 
虚拟 机 软件 自 带 DHCP 服务 ， 为 了 避免 与 自己 配置 的 dhcpd 服务 程序 产生 冲突 ， 应 该 先 按 照 
图 14-3 和 图 14-4 所 示 将 虚拟 机 软件 自 带 的 DHCP 功能 关闭 。 


同 RHELT-1 - VMware Workstation [= 




















文件 昌 | 沽 注 (E) | 站 看 十 Ki) 过 腔 #OD 款 助 | 下 ~ : =) 如) 四 加 苹 壕 






喝 呢 Thu22:10 加 root^ 





图 14-3 单 击 虚拟 机 软件 的 “虚拟 网 络 编辑 器 ”菜单 








罗 直拨 网 络 编 缉 器 [= 
| 名 称 类 型 外 部 连接 主机 连接 DHCP 子 网 地 址 
VMnet0 ”桥接 模式 ”自动 桥接 = a = 
VMnet1 ”公主 机 ..， - 已 连接 - EYE 
VMnet8 NAT 模式 ”NAT 模式 已 连接 已 启用 192. 168.169.0 








添加 网 络 {E).… | | 移 除 网 络 (0) 


VMnet 信息 
桥接 模式 (将 虚拟 机 直接 连接 到 外 部 网 络 )(B) 
桥接 到 (D: 自动 自动 设置 
NAT 模式 (与 虚拟 机 共享 主机 的 人 P 地 址 )N) AT 设置 (S 


@ 公主 机 模式 (在 专用 网 络 内 连接 虚拟 机 )(H) 
回 将 主机 虚拟 适配器 连接 到 此 网 络 () 





子 网 IP(D: 192 .168 .75 . 0 子 网 挤 码 (M): 255 .255 ,255 . 0 


取消 二 | [ 应 用 帮助 




















图 14-4 关闭 虚拟 机 自 带 的 DHCP 功能 


可 随意 开启 儿 台 客户 端 ， 准 备 进行 验证 。 但 是 一 定 要 注意 ，DHCP 客户 端 与 服务 带 需 要 
处 于 同一 种 网 络 模 式 一 一 仅 主 机 模式 ( Hostonly )， 否 则 就 会 产生 物理 隔离 ， 从 而 无 法 获取 IP 
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地 址 。 刘 邀 老 师 建议 开启 1 一 3 台 客 户 端 虚拟 机 验证 一 下 效果 就 好 ， 以 免 物理 主机 的 CPU 和 
内 存 的 负载 太 高 。 

在 确认 DHCP 服务 器 的 卫 地 址 等 网 络 信息 配置 妥当 后 就 可 以 配置 dhcpd 服务 程序 了 ,请 
注意 ， 在 配置 dhcpd 服务 程序 时 ， 配 置 文件 中 的 每 行 参数 后 面 都 需要 以 分 号 (; ) 结尾 ， 这 是 
规定 。 另 外 ，dhcpd 服务 程序 配置 文件 内 Se 重要 ， 因 此 刘 六 老师 在 表 14-4 中 罗列 
出 了 每 一 行 参 数 ， 并 对 其 用 途 进 行 了 简单 介 


[root@linuxprobe ~]# vim /etc/dhcp/dhcpd.conf 


















































ddns-update-style none; 

ignore client-updates; 

subnet 192.168.10.0 netmask 255.255.255.0 { 
range. LT92..168:10350 92. L68510L50:; 

option subnet-mask 255.255.255.0; 

option routers 192.168.10.1; 

option domain-name "linuxprobe.com"; 

option domain-name-servers 192.168.10.1; 
default-lease-time 21600; 

max-lease-time 43200; 


} 
































表 14-4 dhcpd 服务 程序 配置 文件 中 使 用 的 参数 以 及 作用 
一 
ddns-update-style none; 设置 DNS 服务 不 自动 进行 动态 更 新 
ignore client-updates; 忽略 客户 端 更 新 DNS 记录 
subnet 192.168.10.0 netmask 255.255. 
作用 域 为 192.168.10.0/24 网 段 





255.0 { 
range 192.168.10.50 192.168.10.150; | IP 地 址 池 为 192.168.10.50-150( 约 100 个 中 地 址 ) 
option subnet-mask 255.255.255.0; | 定义 窜 户 端 默 认 的 子 网 掩 码 

option routers 192.168.10.1; 定义 客户 端的 网 关 地 址 

option domain-name "linuxprobe.com"; | 定义 默认 的 搜索 域 




















option domain-name-servers 192.168 . 























a 定义 客户 端的 DNS 地 址 
default-lease-time 21600; 定义 默认 租约 时 间 (单位 : 秒 ) 
max-lease-time 43200; 定义 最 大 预约 时 间 (单位 : 秒 ) 











在 红 帽 认 证 考试 以 及 生产 环境 中 , 都 需要 把 配置 过 的 dhcpd 服务 加 入 到 开机 启动 项 中 ,以 确保 
当 服 务 器 下 次 开机 后 dhcpd 服务 依然 能 自动 启动 , 并 顺利 地 为 客户 端 分 配 卫 地 址 等 信息 。 刘 北 老师 
真心 建议 大 家 能 养 成 “配置 好 服务 程序 ， 顺 手 加 入 开机 启动 项 ”的 好 习惯 : 














[root@linuxprobe ~]# systemctl1 start dhcpd 

[root@linuxprobe ~]# systemctl1 enable dhcpd 

ln -s '/usr/lib/systemd/system/dhcpd.service' '/etc/systemd/system/multi-user. 
target .wants/dhcpd.service' 

















at 





巴 dhcpd 服务 程序 配置 妥当 之 后 就 可 以 开启 客户 端 来 检验 IP 分 配 效 果 了 。 重启 客户 端的 
网 卡 服务 后 即 可 看 到 自动 分 配 到 的 了 P 地 址 ， 如 图 14-5 所 示 。 
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root@linuxprobe:~ 


File Edit View Search Terminal Help 
[ rootG@Linuxprobe ~]# systemctl restart network 
[ rootG@Linuxprobe ~]# ifconfig 
eno16777728: ags=4163<UP_ BROADCAST ,RUNNING, MULTICAST> mtu 1500 
et se | netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80:: :29ff:fe27:c612 prefixlen 64 scopeid Ox20<link> 
ether 00:0c:29:27:c6:12 txqueuelen 1000 (Ethernet) 
RX packets 340 bytes 34349 (33.5 KiB) 
RX errors 9 dropped © overruns 9 frame 0 
TX packets 193 bytes 20504 (20.0 KiB) 
TX errors 9 dropped © overruns © carrier © collisions 0 





lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 
inet6 ::1 prefixlen 128 scopeid QOQx10<host> 
loop txqueuelen 9 (Local Loopback) 
RX packets 92 bytes 9398 (9.1 KiB) 
RX errors 9 dropped © overruns 9 frame 0 
TX packets 92 bytes 9398 (9.1 KiB) 
TX errors 9 dropped © overruns © carrier 9 collisions 0 


图 14-5 ”客户 端 自动 获取 的 卫 地 址 


如 果 有 兴趣 ， 大 家 还 可 以 再 开启 一 台 运 行 Windows 系统 的 客户 端 进行 尝试 ， 其 效果 都 是 
一 样 的 。 
































| 14.4 “分 配 固定 IP 地址 





在 DHCP 协议 中 有 个 术语 是 “预约 "， 它 用 来 确保 局 域 网 中 特定 的 设备 总 是 获取 到 固定 的 人 Pp 
地 址 。 换 句 话 说， 就 是 dhcpd 服务 程序 会 把 某 个 卫 地 址 私 藏 下 来 ， 只 将 其 用 于 相 匹 配 的 特定 设备 。 

要 想 把 某 个 下 地 址 与 某 台 主机 进行 绑 定 ， 就 需要 用 到 这 台 主 机 的 MAC 地址 。MAC 地 址 是 网 
卡 上 面 的 一 串 独 立 的 标识 符 ， 具 备 唯 一 性 ， 因 此 不 会 存在 冲突 的 情况 ， 如 图 14-6 所 示 。 





























root@linuxprobe:~ 


File Edit View Search Terminal Help 

[ rootG@Linuxprobe ~]# systemctl restart network 

[root@linuxprobe ~]# ifconfig 

eno16777728: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 
inet 192.168.10.50 netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80::20c:29ff:fe27:c612 prefixlen 64 scopeid Ox20<link> 






ether1o6o:gc : EP 106:12 el 10060 (Ethernet) 
RX packets bytes 34349 (33.5 KiB) 


RX errors 0 ge 0 overruns 9 frame 0 
TX packets 193 bytes 20504 (20.0 KiB) 
TX errors 9 dropped © overruns © carrier © collisions 0 


lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 
inet6 ::1 prefixlen 128 scopeid Qx10<host> 
loop txqueuelen 9 (Local Loopback) 
RX packets 92 bytes 9398 (9.1 KiB) 
RX errors 9 dropped © overruns 9 frame 0 
TX packets 92 bytes 9398 (9.1 KiB) 
TX errors 9 dropped © overruns © carrier 6 collisions 0 











图 14-6 查看 运行 Linux 系统 的 主机 MAC 地 址 


在 Linux 系统 或 Windows 系统 中 , 都 可 以 通过 查看 网 卡 的 状态 来 获知 主机 的 MAC 地 址 。 
在 dhcpd 服务 程序 的 配置 文件 中 ， 按 照 如 下 格式 将 IP 地 址 与 MAC 地 址 进行 绑 定 。 


host 主机 名 称 { 











hardware ethernet 该 主机 的 MAC 地 址 ; 
fixed-address 欲 指 定 的 卫 地 址 ; 
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ee MAC 地 址 ， 该 怎么 办 呢 ? 比如 ， 要 给 老板 使 用 的 主机 绑 定 卫 地 
址 ， 总 不 能 随便 就 去 查看 老板 的 主机 信息 吧 。 针 对 这 种 情况 ， 允 首 老师 二 诉 大 案 一 个 很 好 的 
办 法 。 ete 动 dhcpd 服务 程序 ,为 老板 的 主机 分 配 一 个 人 P 地 址 ， 这 样 就 会 在 DHCP 服 
务 器 本 地 的 日 志文 件 中 保存 这 次 的 IP 地 址 分 配 记 录 。 然 后 查看 日 志文 件 ， 就 可 以 获悉 主机 的 
MAC 地 址 了 ( 即 下 面 加 粗 的 内 容 )。 

















[root@linuxprobe ~]# tail -f /var/log/messages 

Mar 30 05:33:17 localhost dhcpd: Copyright 2004-2013 Internet Systems Consortium. 
Mar 30 05:33:17 localhost dhcpd: All rights reserved. 

Mar 30 05:33:17 localhost dhcpd: For info, please visit https://www.isc.org/ 
software/dhcp/ 

Mar 30 05:33:17 localhost dhcpd: Not searching LDAP since ldap-server, ldap-— 
port and ldap-base-dn were not specified in the config file 

Mar 30 05:33:17 localhost dhcpd: Wrote 0 leases to leases file. 

Mar 30 05:33:17 localhost dhcpd: Listening on LPF/eno16777728/00:0c:29:c4:a4: 
09/192.168.10.0/24 

Mar 30 05:33:17 localhost dhcpd: Sending on LPF/eno16777728/00:0c:29:c4:a4:09/ 
192.168.10.0/24 

Mar 30 05:33:17 localhost dhcpd: Sending on Socket/fallback/fallback-net 

Mar 30 05:33:26 localhost dhcpd: DHCPDISCOVER from 00:0c:29:27:c6:12 via eno16777728 
Mar 30 05:33:27 localhost dhcpd: DHCPOFFER on 192.168.10.50 to 00:0c:29:27:c6: 
12 (WIN-APSS1EANKLR) via enol16777728 

Mar 30 05:33:29 localhost dhcpd: DHCPDISCOVER from 00:0c:29:27:c6:12 (WIN- 
APSS1EANKLR) via eno16777728 

Mar 30 05:33:29 localhost dhcpd: DHCPOFFER on 192.168.10.50 to 00:0c:29:27:c6: 
12 (WIN-APSS1EANKLR) via eno16777728 

Mar 30 05:33:29 localhost dhcpd: DHCPREQUEST for 192.168.10.50 (192.168.10.10) 
from 00:0c:29:27:c6:12 (WIN-APSSLEANKLR) via eno16777728 

Mar 30 05:33:29 localhost dhcpd: DHCPACK on 192.168.10.50 to 00:0c:29:27:c6:12 
(WIN-APSS1IEANKLR) via eno16777728 


之 前 我 在 线 下 讲课 时 ,， 讲 完 DHCP 服务 后 总 是 看 到 有 些 学 员 在 挠 头 。 0 毕 
况 dhcpd 服务 程序 是 Linux 系统 中 一 个 很 简单 的 实验 ,总 共 就 那么 十 几 行 的 配置 参数 还 能 写 错 ? 
后 来 发 现 了 原因 一 一 有 些 学 员 是 以 Windows 系统 为 对 象 做 的 卫 与 MAC 地 址 的 绑 定 实验 。 而 在 
Windows 系统 中 看 到 的 MAC 地址 ， 其 格式 类 似 于 00-0c-29-27-c6-12， 间 隔 符 为 减 号 (- )。 但 是 
在 Linux 系统 中 ，MAC 地 址 的 间隔 符 则 变 成 了 冒号 (: )。 






































[root@linuxprobe ~]# vim /etc/dhcp/dhcpd.conf 
1 ddns-update-style none; 

2 ignore client-updates; 

3 subnet 192.168.10.0 netmask 255.255.255.0 { 
4 range 192.168.10.50 192.168.10.150; 

5 option subnet-mask 255.255.255.0; 

6 option routers 192.168.10.1; 

7 option domain-name "linuxprobe.com"; 

8 option domain-name-servers 192.168.10.1; 

9 default-lease-time 21600; 

10 max-lease-time 43200; 

11 host linuxprobe { 

12 hardware ethernet 00:0c:29:27:c6:12; 

13 fixed-address 192.168.10.88; 

14 } 

5 .} 
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确认 参数 填写 正确 后 就 可 以 保存 退出 配置 文件 ， 然 后 就 可 以 重启 dhcpd 服务 程序 了 





[root@linuxprobe 


~]# Systemct1 restart dhcpd 








需要 说 明 的 是 ， 如 果 您 刚刚 为 这 台 主 机 分 配 了 IP 地 址 ， 则 它 的 IP 地 址 租约 时 间 还 没有 
成 新 绑 定 的 卫 地 址 。 要 想 立 即 查看 绑 定 效果 ， 则 需要 重 局 一 下 客户 端 


到 期 ， 因 此 不 会 立即 换 








的 网 络 服务 ， 如 图 14-7 所 示 。 





File Edit View 


[root@linuxpro 
[root@linuxpro 


inet6 
ether 
RX pac 
RX err 
X pac 
X err 


lo: flags=73<U 
inet 1 


X pac 
X err 








root@Llinuxprobe:~/Desktop 


Search Terminal Help 


be Desktop]# systemctl restart network 
be Desktop]# ifconfig 


eno16777728: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 
inet |192.168.10.881 netmask 255.255.255.0 broadcast 192.168.10.255 


fe80::20c:29ff:fe27:c612 prefixlen 64 scopeid Ox20<link> 


O00:0c:29:27:c6:12 txqueuelen 1000 (Ethernet) 

ets 170 bytes 20554 (20.0 KiB) 

ors 9 dropped 9 overruns © frame 0 

ets 277 bytes 33114 (32.3 KiB) 

ors 0 dropped © overruns © carrier © collisions 0 


P,LOOPBACK,RUNNING> mtu 65536 
27.0.0.1 netmask 255.0.0.0 

::1 prefixlen 128 scopeid Qxl0<host> 
txqueuelen © (Local Loopback) 

ets 160 bytes 14452 (14.1 KiB) 


rors 0 dropped 9 overruns 9 frame 0 





ets 160 bytes 14452 (14.1 KiB) 
ors 9 dropped © overruns © carrier © collisions 0 








图 14-7 重启 客户 端的 网 络 服务 ， 查 看 绑 定 效果 











1. 简 述 DHCP 协议 的 主要 用 途 。 
答 : 为 局 域 网 内 部 的 设备 或 网 络 供应 商 自 动 分 配 IP 地 址 等 参数 。 


2. DHCP 协议 能 够 为 客户 端 分 配 什么 网 卡 资源 ? 


答 : 可 为 客户 端 分 配 IP 地 址 、 子 网 掩 码 、 网 关 地 址 以 及 DNS 地 址 等 信息 。 


























3. 真正 供用 户 使 用 的 了 P 地 址 范围 是 作用 域 还 是 地 址 池 ? 
答 : 地 址 池 ， 因 为 作用 域内 还 会 包含 要 排除 掉 的 IP 地 址 。 


4， 简 述 DHCP 协议 中 


答 : 租约 分 为 默认 租约 时 间 和 最 大 租约 时 间 ， 用 于 在 租约 时 间 到 期 后 自动 回收 主机 的 PP 


地 址 ， 以 免 造成 了 


5.， 把 卫 地 址 与 主机 的 


“租约 ”的 作用 。 


地 址 的 浪费 。 


什么 信息 绑 定 ， 就 可 以 保证 该 主机 一 直 获 取 到 固定 的 卫 地 址 ? 





答 : 主机 网 卡 的 MAC 地 址 。 
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BREEd 


使 用 Postifx 与 Dovecot 部 署 邮 件 系 统 


本 章 讲解 了 如 下 内 容 : 


> ”电子 邮件 系统 ; 
> ”部 署 基础 的 电子 邮件 系统 ; 
> ”设置 用 户 别 名 信箱 。 






































电子 邮件 系统 是 我 们 在 日 常 工 作 、 生 活 中 最 常用 的 一 个 网 络 服务 ， 本 章 将 首先 介绍 电子 
邮件 系统 的 起 源 , 然后 介绍 SMTP 、POP3 、IMAP4 等 常见 的 电子 邮件 协议 , 以 及 MUA 、MTA、 
MDA 这 三 种 服务 角色 的 作用 。 本 章 将 完整 地 演示 在 Linux 系统 中 使 用 Postfix 和 Dovecot 服务 
程序 配置 电子 邮件 系统 服务 的 方法 ， 并 重点 讲解 常用 的 配置 参数 ， 此 外 还 将 结合 BIND 服务 
程序 提供 的 DNS 域名 解析 服务 来 验证 客户 端 主机 与 服务 器 之 间 的 邮件 收发 功能 。 本 章 最 后 还 
介绍 了 如 何在 电子 邮件 系统 中 设置 用 户 别 名 ， 以 帮助 大 家 在 生产 环境 中 更 好 地 控制 、 管 理 电 
子 邮 件 账户 以 及 信箱 地 址 。 
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20 世纪 60 年 代 , 美 苏 两 国正 处 于 冷战 时 期 。 美国 军 方 认为 应 该 在 科学 技术 上 保持 其 领 
先 的 地 位 ， 这 样 有 助 于 在 未 来 的 战争 中 取得 优势 。 美 国 国 防 部 由 此 发 起 了 一 项 名 为 
ARPANET 的 科研 项 目 ， 即 大 家 现在 所 熟知 的 阿 帕 网 计划 。 阿 由 网 是 当今 互联 网 的 雏形 ,， 它 
也 是 世界 上 第 一 个 运营 的 封包 交换 网 络 。 但 是 很 快 在 1971 年 阿 由 网 遇 到 了 严峻 的 问题 ， 如 
图 15-1 所 示 ， 参 与 阿 帕 网 科研 项 目的 科学 家 分 布 在 美国 不 同 的 地 区 ， 甚 至 还 会 因为 时 差 的 
影响 而 不 能 及 时 分 享 各 自 的 研究 成 果 ， 因 此 科学 家 们 迫切 需要 一 种 能 够 借助 于 网 络 在 计算 
机 之 间 传 输 数 据 的 方法 。 

尽管 本 书 第 10 章 和 第 11 章 介绍 的 Web 服务 和 FTP 文件 传输 服务 也 能 实现 数据 交换 , 但 
是 这 些 服务 的 数据 传输 方式 就 像 “ 打 电话 ”那样 ， 需 要 双方 同时 在 线 才 能 完成 传输 工作 。 如 
果 对 方 的 主机 宕 机 或 者 科研 人 员 因 故 离开 ， 就 有 可 能 错过 某 些 科研 成 果 了 。 好 在 当时 麻 省 理 
工学 院 的 Ray Tomlinson 博士 也 参与 到 了 阿 帕 网 计划 的 科研 项 目 中 , 他 觉得 有 必要 设计 一 种 类 
似 于 “信件 ”的 传输 服务 ， 并 为 信件 准备 一 个 “信箱 ”， 这 样 即便 对 方 临 时 离线 也 能 完成 数据 
的 接收 ， 等 上 线 后 再 进行 处 理 即 可 。 于 是 ，Ray Tomlinson 博士 用 了 近 一 年 的 时 间 完 成 了 电子 
邮件 (Email ) 的 设计 ,并 在 1971 年 秋天 使 用 SNDMSG 软件 向 自己 的 另 一 台 计 算 机 发 送出 了 
人 类 历史 上 第 一 封 电子 邮件 一 一 电子 邮件 系统 在 互联 网 中 由 此 诞生 ! 

































































































































































使 用 Postifx 与 Dovecot 部 署 邮 件 系统 


ILLINOIS 




















图 15-1 1971 年 阿 由 网 科研 项 目 运营 情况 历史 资料 图 片 


既然 要 在 互联 网 中 给 他 人 发 送 电子 邮件 ,那么 对 方 用 户 用 于 接收 电子 邮件 的 名 称 必 
须 是 唯一 的 ， 否 则 电子 邮件 可 能 会 同时 发 给 多 个 重 名 的 用 户 ， 也 或 者 干脆 大 家 都 收 不 到 
邮件 了 。 因 此 ，Ray Tomlinson 博士 决定 选择 使 用 “姓名 @ 计 算 机 主机 名 称 ” 的 格式 来 规 
范 电子 信箱 的 名 称 。 选 择 使 用 @ 符 号 作为 间隔 符 的 原因 其 实 也 很 简单 ， 因 为 Ray 
Tomlinson 博士 觉得 人 类 的 名 字 和 计算 机 主机 名 称 中 应 该 不 会 有 这 么 一 个 @ 符 号 ,所 以 就 
选择 了 这 个 符号 。 

电子 邮件 系统 基于 邮件 协议 来 完成 电子 邮件 的 传输 ， 常 见 的 邮件 协议 有 下 面 这 些 。 

> 简单 邮件 传输 协议 ( Simple Mail Transfer Protocol，SMTP ): 用 于 发 送 和 中 转发 出 

的 电子 邮件 ， 占 用 服务 器 的 25/TCP 端口 。 
> 邮局 协议 版 本 3 ( Post Office Protocol 3 ): 用 于 将 电子 邮件 存储 到 本 地 主机 ， 占 用 服 
务 器 的 110/TCP 端口 。 
> Internet 消息 访问 协议 版 本 4 ( Internet Message Access Protocol 4 ): 用 于 在 本 地 主 
机 上 访问 邮件 ， 占 用 服务 需 的 143/TCP 端口 。 

在 电子 邮件 系统 中 , 为 用 户 收 发 邮件 的 服务 器 名 为 邮件 用 户 代 理 ( Mail User Agent， 
MUA )。 另 外 , 既然 电子 邮件 系统 能 够 让 用 户 在 离线 的 情况 下 依然 可 以 完成 数据 的 接收 ， 
肯定 得 有 一 个 用 于 保存 用 户 邮 件 的 “信箱 ”服务 器 ,这 个 服务 器 的 名 字 为 邮件 投递 代理 
( Mail Delivery Agent，MDA )， 其 工作 职责 是 把 来 自 于 邮件 传输 代理 ( Mail Transfer 
Agent，MTA ) 的 邮件 保存 到 本 地 的 收 件 箱 中 。 其 中 ， 这 个 MTA 的 工作 职责 是 转发 处 
理 不 同 电子 邮件 服务 供应 商 之 间 的 邮件 ， 把 来 自 于 MUA 的 邮件 转发 到 合适 的 MTA 服 
务 器 。 例 如 , 我 们 从 新 浪 信箱 向 谷歌 信箱 发 送 一 封 电子 邮件 ,这 封 电子 邮件 的 传输 过 程 
如 图 15-2 所 示 。 

总 的 来 说 ， 一 般 的 网 络 服务 程序 在 传输 信息 时 就 像 拨打 电话 ， 需 要 双方 同时 保持 在 线 ， 
而 在 电子 邮件 系统 中 ， 当 用 户 发 送 邮 件 后 不 必 等 待 投递 工作 完成 即 可 下 线 。 如 果 对 方 邮 件 服 
务 器 (MTA ) 宕 机 或 对 方 临时 离线 ， 则 发 件 服务 器 ( MTA ) 就 会 把 要 发 送 的 内 容 自动 的 暂时 
保存 到 本 地 ， 等 检测 到 对 方 邮 件 服 务 器 恢复 后 会 立即 再 次 投递 ， 期 间 一 般 无 需 运 维 人 员 维护 
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人 处理， 随后 收 信 人 MUA ) 就 能 在 自己 的 信箱 中 找到 这 封 邮 件 了 。 


r | SMTP SMTP POP3 或 IMAP4 v 
从 一 一 一 一 一 一 一 \ 
> = > = 


MUA MTA MTA MUA 
发 信人 新 浪 电子 邮局 谷歌 电子 邮局 收 信人 


图 15-2 电子 邮件 的 传输 过 程 


大 家 在 生产 环境 中 部 署 企业 级 的 电子 邮件 系统 时 ， 有 4 个 注意 事项 请 留意 。 

> 添加 反 垃 圾 与 反 病 毒 模块 ， 它 能 够 很 有 效 地 阻止 垃圾 邮件 或 病毒 邮件 对 企业 信箱 
的 干扰 。 

> 对 邮件 加 密 : 可 有 效 保护 邮件 内 容 不 被 黑客 盗 取 和 算 改 。 

> 添加 邮件 监控 审核 模块 : 可 有 效 地 监控 企业 全 体 员工 的 邮件 中 是 否 有 敏感 词 、 是 否 有 
透露 企业 资料 等 违规 行为 。 

> 保障 稳定 性 : 电子 邮件 系统 的 稳定 性 至 关 重 要 , 运 维 人 员 应 做 到 保证 电子 邮件 系统 的 
稳定 运行 ， 并 及 时 做 好 防范 分 布 式 拒绝 服务 ( Distributed Denial of Service，DDos ) 
攻击 的 准备 。 
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一 个 最 基础 的 电子 邮件 系统 肯定 要 能 提供 发 件 服务 和 收 件 服务 ， 为 此 需要 使 用 基于 
SMTP 协议 的 Postfix 服务 程序 提供 发 件 服务 功能 ， 并 使 用 基于 POP3 协议 的 Dovecot 服务 程 
序 提供 收 件 服务 功能 。 这 样 一 来 ， 用 户 就 可 以 使 用 Outlook Express 或 Foxmail 等 客户 端 服务 
程序 正常 收发 邮件 了 。 电 子 邮件 系统 的 工作 流程 如 图 15-3 所 示 。 


发 往 本 域 的 邮件 发 往外 域 的 邮件 
发 送 邮 作 。 人 滨 存储 本 域 邮件 一 一 


收 信 认 证 收取 邮件 


必 司 
DOVECOT CT 
全 = - 了 丁 
收 信 认 证 
图 15-3 电子 邮件 系统 的 工作 流程 


在 RHEL5、RHEL 6 以 及 诸多 早期 的 Linux 系统 中 , 默认 使 用 的 发 件 服务 是 由 Sendmail 
服务 程序 提供 的 ， 而 在 RHEL 7 系统 中 已 经 替换 为 Postfix 服务 程序 。 相 较 于 Sendmail 服务 
程序 ，Postfix 服务 程序 减少 了 很 多 不 必要 的 配置 步 又， 而 且 在 稳定 性 、 并 发 性 方面 也 有 很 
大 改进 。 

一 般 而 言 ， 我 们 的 信箱 地 址 类 似 于 “root@linuxprobe.com” 这 样 ， 也 就 是 按照 “用 户 名 
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@ 主 机 地 址 (域名 ”格式 来 规范 的 。 如 果 您 给 我 一 串 “root@192.168.10.10” 的 信息 , 我 可 能 
猜 不 到 这 是 一 个 信箱 地 址 ， 没 准 会 将 它 当 作 SSH 协议 的 连接 信息 。 因 此 ， 要 想 更 好 地 检验 电 
子 邮 件 系统 的 配置 效果 ， 需 要 先 部 署 bind 服务 程序 ， 为 电子 邮件 服务 器 和 客户 端 提供 DNS 
域名 解析 服务 。 

第 1 步 : 配置 服务 器 主机 名 称 ， 需 要 保证 服务 器 主机 名 称 与 发 信 域 名 保持 一 致 : 

















[root@linuxprobe ~]# vim /etc/hostname 
mail.linuxprobe.com 
[root@linuxprobe ~]# hostname 


mail.linuxprobe.com 














回 


第 2 步 : 清空 iptables 防火 墙 默认 策略 ， 并 保存 策略 状态 ， 避 免 因 防 火 墙 中 
策略 阻止 了 客户 端 DNS 解析 域名 及 收发 邮件 : 


著 认 存在 的 


Cel 

















[root@localhost ~]# iptables -F 
[root@localhost ~]# service iptables save 


iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK | 














第 3 步 : 为 电子 邮件 系统 提供 域名 解析 。 由 于 第 13 章 已 经 讲解 了 bind-chroot 服务 程序 
的 配置 方法 ， 因 此 这 里 只 提供 主 配 置 文件 、 区 域 配置 文件 和 域名 数据 文件 的 配置 内 容 ， 其 余 
配置 步骤 请 大 家 自行 完成 。 


























[root@linuxprobe ~]# cat /etc/named.conf 

A 

2 // named.conf 

3 7%/ 

4 // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS 
5 // server as a caching only nameserver (as a localhost DNS resolver only). 
(Sk 

7 // See /usr/share/doc/bind*/sample/ for example named configuration files. 
人 

9 
工 


0 options { 
11 listen-on port 53 { any; }; 
12..1isteén=on-v6 port. 53, { il; }3 
13 directory "/var/named"; 
14 dump-file "/var/named/data/cache dump.db"; 
15 statistics-file "/var/named/data/named stats.txt"; 
16 memstatistics-file "/var/named/data/named mem stats.txt"; 
17 allow-query { any; }; 


ee 省 略 部 分 输出 信息 

[root@linuxprobe ~]# cat /etc/named.rfc1912.zones 

Zone "linuxprobe.com" IN { 

type master; 

file "linuxprobe.com.zone"; 

allow-update {none;}; 

}; 

[root@linuxprobe ~]# cat /var/named/linuxprobe.com.zone 
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$TTL 1D 

@ IN SOA linuxprobe.com. root.linuxprobe.com. ( 
0;serial 
1D;refresh 
lH;retry 
1Wiexpire 
3H:minimum 

NS ns.linuxprobe.com. 

ns INA 192.168.10.10 

@ INMX 10 mail.linuxprobe.com. 

mail INA 192.168.10.10 














[root@linuxprobe ~]# Systemct1 restart named 
[root@linuxprobe ~]# systemctl1 enable named 

ln -s '/usr/lib/systemd/system/named.service' 
'/etc/systemd/system/multi-user.target .wants/named.service"' 





修改 好 配置 文件 后 记得 重启 bind 服务 程序 , 这 样 电子 邮件 系统 所 对 应 的 服务 器 主机 名 即 
为 maillinuxprobe.com， 而 邮件 域 为 @linuxprobe.com。 把 服务 器 的 DNS 地 址 修改 成 本 地 IP 
地 址 ， 如 图 15-4 所 示 。 





root@Llocalhost:~/Desktop - IO 


File Edit View Search Terminal Help 


Edit connection 


Profile name ale E EA 


i 
' 
Device [OHOPEHa /IA 
= ETHERNET <Show> 
1 


于 IPv4 CONFIGURATION <Manual> <Hide> 
Addresses EE I: <Remove> 
<Add...> 
Gateway EE 


DNS servers 6 LO <Remove> 





Search domains 


Routing (No custom routes) <Edit...> 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 

















图 15-4 ”配置 服务 器 的 DNS 地 址 


15.2.1 配置 Postfix 服务 程序 


Postfix 是 一 款 由 IBM 资助 研发 的 免费 开源 电子 邮件 服务 程序 , 能 够 很 好 地 兼容 Sendmail 
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服务 程序 , 可 以 方便 Sendmail 用 户 迁 移 到 Postfix 服务 上 。Postfix 服务 程序 的 邮件 收发 能 力 强 
于 Sendmail 服务 , 而 且 能 自动 增加 、 减少 进程 的 数量 来 保证 电子 邮件 系统 的 高 性 能 与 稳定 性 。 
男 外 ，Postfix 服务 程序 由 许多 小 模块 组 成 ， 每 个 小 模块 都 可 以 完成 特定 的 功能 ， 因 此 可 在 生 
产 工作 环境 中 根据 需求 灵活 搭配 它们 。 

第 1 步 : 安装 Postfix 服务 程序 。 这 一 步 在 RHEL7 系统 中 是 多 余 的 。 刘 六 老师 之 所 以 还 
要 写 上 这 一 步 又 ， 其 目的 是 让 大 家 在 学 完 本 书 之 后 不 但 能 掌握 RHEL 系统 ， 还 能 立即 上 手 
Fedora、CentOS 等 主流 Linux 系统 。 这 样 ， 既 然 这 些 系统 没有 默认 安装 Postfix 服务 程序 ,我 
们 也 可 以 自行 搞定 。 在 安装 完 Postfix 服务 程序 后 ， 需 要 禁用 iptables 防火 墙 ， 否 则 外 部 用 户 
无 法 访问 电子 邮件 系统 。 


[root@linuxprobe ~]# yum install postfix 




































































Loaded plugins: langpacks, product-id, subscription-manager 

rhel7 | 4.1 kB 00:00 

(1/2): rhel7/group gz | 134 kB 00:00 

(2/2): rhel7/primary db | 3.4 MB 00:00 

Package 2:postfix-2.10.1-6.e17.x86 64 already installed and latest version 
Nothing to do 

[root@linuxprobe ~]# systemctl1 disable iptables 


第 2 步 :配置 Postfix 服务 程序 。 大 家 如 果 是 首次 看 到 Postfix 服务 程序 主 配置 文件 (/etc/ 
postfix/main.cf )， 估 计 会 被 679 行 左 右 的 内 容 给 吓 到 。 甚 实 不 用 担心 ， 这 里 面 绝 大 多 数 的 内 
容 依然 是 注释 信息 。 刘 邀 老 师 在 本 书 中 一 直 强 调 正确 学 习 Linux 系统 的 方法 , 并 坚信 “负责 
任 的 好 老师 不 应 该 是 书本 的 搬运 工 ， 而 应 该 一 名 优质 内 容 的 提炼 者 ”， 因 此 在 翻 遍 了 配置 参 
数 的 介绍 ， 以 及 结合 多 年 的 运 维 经 验 后 ， 最 终 总 结 出 了 7 个 最 应 该 掌握 的 参数 ， 如 表 15-1 
所 示 。 




























































































表 15-1 Postfix 服务 程序 主 配 置 文件 中 的 重要 参数 
参数 作用 

myhostname 邮局 系统 的 主机 名 
mydomain 邮局 系统 的 域名 
myorigin 从 本 机 发 出 邮件 的 域名 名 称 
inet interfaces 监听 的 网 卡 接口 
mydestination 可 接收 邮件 的 主机 名 或 域名 
mynetworks 设置 可 转发 哪些 主机 的 邮件 
relay domains 设置 可 转发 哪些 网 域 的 邮件 








在 Postfix 服务 程序 的 主 配置 文件 中 ， 总 计 需 要 修改 5 处 。 首 先是 在 第 76 行 定义 一 个 名 
为 myhostname 的 变量 ,用 来 保存 服务 器 的 主机 名 称 。 请 大 家 记 住 这 个 变量 的 名 称 ， 下 边 的 参 
数 需 要 调用 它 : 














[root@linuxprobe ~] # vim /etc/postfix/main.cf 
a 省 略 部 分 输出 信息 

68 # INTERNET HOST AND DOMAIN NAMES 

69 # 


70 # The myhostname parameter specifies the internet hostname of this 
71 # mail system. The default is to use the fully-qualified domain name 
72 # from gethostname(). $myhostname is used as a default value for many 
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73 
74 
75 
76 
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# other configuration parameters. 
# 

#myhostname = host.domain.tld 
myhostname = mail.linuxprobe.com 





i 省 略 部 分 输出 信息 








然后 在 第 83 行 定义 一 个 名 为 mydomain 的 变量 ,用 来 保存 邮件 域 的 名 称 。 大 家 也 要 记 住 
这 个 变量 名 称 ， 下 面 将 调用 它 : 








78 
79 
80 
81 
82 
83 


# The mydomain parameter specifies the local internet domain name. 
# The default is to use $myhostname minus the first component. 

# $mydomain is used as a default value for many other configuration 
# parameters. 

# 

mydomain = linuxprobe.com 





在 第 99 行 调用 前 面 的 mydomain 变量 ， 用 来 定义 发 出 邮件 的 域 。 调 用 变量 的 好 处 是 避免 
重复 写 入 信息 ， 以 及 便于 日 后 统一 修改 : 





85 
86 
87 
88 
89 
90 
91 
92 
93 
94 
95 
96 
97 
98 
99 


# SENDING MAIL 

# 

# The myorigin parameter specifies the domain that locally-posted 
# mail appears to come from. The default is to append $myhostname, 
# which is fine for small sites. If you run a domain with multiple 
# machines, you should (1) change this to $mydomain and (2) set up 
# a domain-wide alias database that aliases each user to 

# user@that .users.mailhost. 

# 

# For the sake of consistency between sender and recipient addresses, 
# myorigin also specifies the default domain name that is appended 
# to recipient addresses that have no Q@domain part. 

# 

#myorigin = $myhostname 

myorigin = $mydomain 





A 
ba 


lL 














4 处 修改 是 在 第 116 行 定义 网 卡 监听 地 址 。 可 以 指定 要 使 用 服务 器 的 哪些 IP 地 址 对 外 





提供 电子 邮件 服务 ; 也 可 以 干脆 写成 al， 代 表 所 有 IP 地 址 都 能 提供 电子 邮件 服务 : 








103 # The inet interfaces parameter specifies the network interface 

104 # addresses that this mail system receives mail on. By default, 

105 # the software claims all active interfaces on the machine. The 

106 # parameter also controls delivery of mail to user@[ip.address]. 
107 # 

108 # See also the proxy interfaces parameter, for network addresses that 
109 # are forwarded to us via a proxy or network address translator. 
110 # 

111 # Note: you need to stop/start Postfix when this parameter changes. 
112 # 

113 #inet interfaces = all 

114 #inet interfaces = $myhostname 

115 #inet interfaces = $myhostname, localhost 


116 inet interfaces = all 

















最 后 一 处 修改 是 在 第 164 行 定义 可 接收 邮件 的 主机 名 或 域名 列表 。 这 里 可 以 直接 调 
用 前 面 定义 好 的 myhostname 和 mydomain 变量 ( 如 果 不 想 调 用 变量 , 也 可 以 直接 调用 变 
量 中 的 值 ): 
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使 用 Postifx 与 Dovecot 部 署 邮 件 系统 





The mydestination parameter specifies the list of domains that this 
machine considers itself the final destination for. 


These domains are routed to the delivery agent specified with the 
that is the UNIX 


QO OW 
-JO OO 


local_ transport parameter setting. By default, 
compatible delivery agent that lookups all recipients in /etc/passwd 


QO 
\D Oo 


and /etc/aliases or their equivalent . 


~ 


~ 


The default is $myhostname + localhost.$mydomain. On a mail domain 








# 
# 
# 
# 
# 
# 
# 
# 
1 3# 
142 # gateway, you should also include $mydomain. 
143 # 
144 # Do not specify the names of virtual domains - those domains are 
145 # specified elsewhere (see VIRTUAL README). 
146 # 
147 # Do not specify the names of domains that this machine is backup Mx 
148 # host for. Specify those names via the relay_domains settings for 
149 # the SMTP server, or use permit_mx backup if you are lazy (see 
150 # STANDARD_CONFIGURATION_ README). 
151 # 

52 # The local machine is always the final destination for mail addressed 
153 # to user@[the.net.work.address] of an interface that the mail System 
154 # receives mail on (see the inet_interfaces parameter). 

155 # 
156 # Specify a list of host or domain names, /file/name or type:table 
157 # patterns, separated by commas and/or whitespace. A /file/name 

58 # pattern is replaced by its contents; a type:table is matched when 

159 # a name matches a lookup key (the right-hand side is ignored). 

160 # Continue long lines by starting the next line with whitespace. 

161 # 

162 # See also below, section “REJECTING MAIL FOR UNKNOWN LOCAL USERS". 

163 # 

164 mydestination = $myhostname , $mydomain 

165 #mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain 
166 #mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain, 














第 3 步 : 创建 电子 邮件 系统 的 登录 账户 。Postfix 与 vsftpd 服务 程序 一 样 ， 都 可 以 调用 本 














地 系统 的 账户 和 密码 ， 因 此 在 本 地 系统 创建 常规 账户 即 可 。 最 后 重启 配置 妥当 的 postfix 服务 





程序 ， 并 将 其 添加 至 








I 开机 启动 项 中 。 大 功 告 成 ! 








[root@linuxprobe ~] # useradd boss 

[root@linuxprobe ~] # echo "linuxprobe" | passwd --stdin boss 
Changing password for user boss. passwd: all authentication tokens updated 
successfully. 
[root@linuxprobe ~] # systemctl1 restart postfix 
[root@linuxprobe ~] # Systemct1 enable postfix 


ln -s '/usr/lib/systemd/system/postfix.service' '/etc/systemd/system/multi-user. 


target .wants/postfix.service' 





15.2.2 ”配置 Dovecot 服务 程序 





Ey 


b 件 服务 的 开源 服务 程序 , 安 





志 i 台 已 


Dovecot 是 一 款 能 人 够 为 Linux 系统 提供 IMAP 和 POP3 电子 出 
































全 性 极 高 ， 配 置 简单 ， 执 行 速度 快 ， 而 - 
荐 的 收 件 服务 程序 。 
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且 占 用 的 服务 器 硬件 资源 也 较 少 ， 因 此 是 一 款 值得 推 


15.2 部 署 基 础 的 电子 邮件 系统 


第 1 步 : 安装 Dovecot 服务 程序 软件 包 。 大 家 可 自行 配置 Yam 软件 仓库 、 挂 载 光 盘 镜像 
到 指定 目录 ， 然 后 输入 要 安装 的 dovecot 软件 包 名 称 即 可 : 














root@linuxprobe ~]# yum install dovecot 

Loaded Plugins: langpacks, product-id, subscription-manager 
i 省 略 部 分 输出 信息 ..…………… 

Installing: 

dovecot x86 64 1:2.2.10-4.el7 rhel 3.2 M 

Installing for dependencies: 

Clucene-core x86 64 2.3.3.4-11.el7 rhel 528 k 

Transaction Summary 














Install 1 Package (+1 Dependent package) 
Total download size: 3.7 M 

Installed size: 12 M 

Is this ok [y/d/N]: y 

Downloading packages: 

Total 44 MB/s | 3.7 MB 00:00 

Running transaction check 

Running transaction test 





Transaction test succeeded 
Running transaction 
Installing : clucene-core-2.3.3.4-11.e17.x86 64 1/2 
Installing : 1l:dqovecot-2.2.10-4.e17.x86 64 2/2 
Verifying : 1:qovecot-2.2.10-4.e17.x86 64 1/2 
Verifying : clucene-core-2.3.3.4-11.e17.x86 64 2/2 
Installed: 
dovecot.x86 64 1:2.2.10-4.el7 
Dependency Installed: 
Clucene-core.x86 64 0:2.3.3.4-11.el7 
Complete! 





第 2 步 : 配置 部 署 Dovecot 服务 程序 。 在 Dovecot 服务 程序 的 主 配置 文件 中 进行 如 下 修 
改 。 首 先是 第 24 行 ， 把 Dovecot 服务 程序 支持 的 电子 邮件 协议 修改 为 imap 、pop3 和 lmtp。 
然后 在 这 一 行 下面 添 加 一 行 参数 ， 人 允许 用 户 使 用 明文 进行 密码 验证 。 之 所 以 这 样 操 作 ， 是 因 
为 Dovecot 服务 程序 为 了 保证 电子 邮件 系统 的 安全 而 默认 强制 用 户 使 用 加 密 方式 进行 登录 ， 
而 由 于 当前 还 没有 加 密 系 统 ， 因 此 需要 添加 该 参数 来 允许 用 户 的 明文 登录 。 


























[root@linuxprobe ~] # vim /etc/dovecot/dovecot.conf 
a 省 略 部 分 输出 信息 .…. 


23 # Protocols we want to be serving. 








24 protocols = imap pop3 lmtp 
25 disable plaintext auth = no 


a 省 略 部 分 输出 信息 














在 主 配置 文件 中 的 第 48 行 ， 设置 允许 登录 的 网 段 地 址 ， 也 就 是 说 我 们 可 以 在 这 里 限制 只 有 
来 自 于 某 个 网 段 的 用 户 才能 使 用 电子 邮件 系统 。 如 果 想 允许 所 有 人 都 能 使 用 , 则 不 用 修改 本 参数 : 























44 # Space separated list of trusted network ranges. Connections from these 

45 # IPs are allowed to override their IP addresses and ports (for logging and 
46 # for authentication checks). disable plaintext auth is also ignored for 

47 # these networks. Typically you'd specify your IMAP proxy servers here. 


48 login trusted networks = 192.168.10.0/24 





287 


使 用 Postifx 与 Dovecot 部 署 邮 件 系统 





第 3 步 : 配置 邮件 格式 与 存储 路 径 。 在 Dovecot 服务 程序 单独 的 子 配 置 文件 中 ， 定 义 一 








个 路 径 ， 用 于 指定 要 将 收 到 的 邮件 存放 到 服务 器 本 地 的 哪个 位 置 。 这 个 路 径 默 认 已 经 定义 好 


下 5 





我 们 只 需要 将 该 配置 文件 中 第 24 行 前 面 的 并 号 (#) 删除 即 可 。 








[root@linuxprobe ~] # vim /etc/dovecot/conf.d/10-mail.conf 





1 ## 

2 ## Mailbox locations and namespaces 

3 ## 

4 # Location for users' mailboxes. The default is empty, which means that Dovecot 
5 # tries to find the mailboxes automatically. This won't work if the user 

6 # doesn't yet have any mail, so you should explicitly tell Dovecot the full 
7 # location. 

8 间 

9 # If you're using mbox, giving a path to the INBOX file (eg. /var/mail/g%u) 
10 # isn't enough. You'll also need to tell Dovecot where the other mailboxes are 
11 # kept. This is called the "root mail directory", and it must be the first 
12 # path given in the mail location setting. 

13 # 

14 # There are a few special variables you can use, eg.: 

15 # 

16 # Su - username 

17 # Sn - user part in user@domain, same as S$u if there's no domain 

18 # $d - domain part in user@domain, empty if there's no domain 

19 # %h - home directory 

20 # 

21 # See doc/wiki/Variables.txt for full list. Some examples: 

22 3# 

23 # mail location = maildir:~/Maildir 


24 mail location = mbox:~/mail:INBOX=/var/mail/%u 
25 # mail location = mbox:/var/mail/%d/%$1ln/%n:INDEX=/var/indexes/%d/%$1n/%n 


a 省 略 部 分 输出 信息 





























然后 切换 到 配置 Postfix 服务 程序 时 创建 的 boss 账户 ,并 在 家 目录 中 建立 用 于 保存 邮件 的 














目录 。 记 得 要 重启 Dovecot 服务 并 将 其 添加 到 开机 启动 项 中 。 至 此 ， 对 Dovecot 服务 程序 的 
配置 部 署 步骤 全 部 结束 。 














root@linuxprobe ~] # su - boss 

Last login: Sat Aug 15 16:15:58 CST 2017 on pts/1 
boss@mail ~]$ mkdir -P mail/.imap/INBOX 
boss@mail ~]$ exit 

root@linuxprobe ~] # Systemct1 restart dovecot 


root@linuxprobe ~] # Systemct1 enable dovecot 





ln -s '/usr/lib/systemd/system/dovecot.service' '/etc/systemd/system/multi-user. 


target .wants/dovecot.service"' 





3 


2.3 测试 电子 邮件 系统 


如 何 得 知 电子 邮件 系统 已 经 能 够 正常 收发 邮件 了 呢 ? 可 以 使 用 Windows 操作 系统 中 自 带 























™ 





的 Outlook 软件 来 进行 测试 (也 可 以 使 用 其 他 电子 邮件 客户 端 来 测试 ， 比 如 Foxmail )。 请 按 
照 表 15-2 来 设置 电子 邮件 系统 及 DNS 服务 器 和 客户 端 主机 的 卫 地址， 以 便 能 正常 解析 邮件 
域名 。 设置 后 的 结果 如 图 15-5 所 示 。 
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15.2 ”部 署 基础 的 电子 邮件 系统 























表 15-2 服务 器 与 客户 端的 操作 系统 与 IP 地 址 
主机 名 称 操作 系统 卫 地址 
电子 邮件 系统 及 DNS 服务 器 RHEL7 192.168.10.10 
客户 端 主机 Windows 7 192.168.10.30 
Internet 协议 版 本 4 (TCP/Ipv4) 屋 性 [L9 ea 
常规 | 





各 自动 获得 I 地 址 0) 
加 使 用 下 面 的 IT 地 址 (3): 


IF 地 址 I): 192 .168 .10 .30 
子 网 摘 码 0 : 255 .255 .255 . 0 
默认 网 关 加 ): 


自动 获得 DRS 服务 器 地 址 名) 
加 使 用 下 面 的 DNS 服务 器 地 址 E): 











首选 DNS 服务 器 Ff): 192 .168 .10 .10 
备用 DNS 服务 器 以 ) ; 
辐 退 出 时 验证 设置 LL) 高 级 罗 
世 取消 =- 

















图 15-5 配置 Windows 7 系统 的 网 络 参 数 


第 1 步 : 在 Windows7 系统 中 运行 Outlook 软件 程序 。 由 于 各 位 读者 使 用 的 Windows7 系统 
版 本 不 一 定 相 同 ， 因 此 刘 邀 老师 决定 采用 Outlook 2007 版 本 为 对 象 进 行 实验 。 如 果 您 想 要 与 这 里 
的 实验 环境 尽量 保持 一 致 , 可 在 本 书 配套 站 点 的 软件 资源 库 页 面 (http://www. linuxprobe.com/ 
tools ) 下 载 并 安装 。 在 初次 运行 该 软件 时 会 出 现 一 个 “Outlook 2007 启动 ”页 面 ， 引 导 大 家 完 
成 该 软件 的 配置 过 程 ， 如 图 15-6 所 示 。 


Outlook 2007 启动 [| 

















Outlook 2007 启动 
欢迎 使 用 0utlook 2007 启动 向 导 ， 本 向 导 将 指导 您 完成 0utlook 2007 的 配置 过 程 。 























下 


图 15-6 ”Outlook 2007 启动 向 导 











289 


使 用 Postifx 与 Dovecot 部 署 邮 件 系统 




















第 2 步 : 配置 电子 邮件 账户 。 在 图 15-7 所 示 的 “账户 设置 ”页 面 中 单 击 “是 ” 单 选 按钮 ， 


然后 单 击 “ 下 一 


步 ” 按钮 。 





帐户 配置 











电子 邮件 帐户 


配置 Dutlook 上 至 | Interne 
和 


加 是 加 


百人 0) 


子 邮 件 、Mierosoft Exchange 或 


帐户 ? 





上 一步 @)| 攻 一 步 好 >] [ 取消 | 














第 3 步 : 选择 电子 邮件 服务 的 协议 








图 15-7 配置 电子 邮件 账户 


击 “ 下 一 步 ” 按 钮 。 


类 型 。 











添加 新 电子 邮件 帐户 | 


在 图 15-8 所 示 的 页 面 中 接受 默认 设置 ， 然 后 单 














选择 电子 邮件 服务 


回 microseft Exchange、 POP3、 INAP 号 HTTP 


icroso 


其 他 (0) 
人 
了 ax Mail Tr 

Dutlo 小 手机 信息 服务 





KK 上- 步 @)] 夺 一步 如 [取消 | 

















第 4 步 


图 15-8 

















选择 


填写 电子 邮件 账户 信息 ， 











电子 邮件 服务 的 协议 类 型 














在 图 15-9 所 示 的 页 面 中 ， 


“您 的 姓名 ”文本 框 中 可 


以 为 自 定义 的 任意 名 字 ,“ 电 子 邮件 地 址 ”文本 框 中 则 需要 输入 服务 器 系统 内 的 账户 名 外 


加 发 件 域 , “密码 ” 
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文本 框 中 要 输入 该 账户 在 服务 器 内 的 登录 密码 。 在 填写 完毕 之 后 ， 单 


15.2 ”部 署 基础 的 电子 邮件 系统 


击 “ 下 一 步 ” 按 钮 。 


“b0 新 电子 邮件 帐户 x 


自动 帐户 设置 
单 击 “ 下 二 些 ” 将 与 您 的 电子 邮件 服务 器 建立 联系 ， 并 将 配置 Internet 服务 提供 商 或 号 crosoft Exchange 服 





您 的 姓名 (7): boss 
示例 : Barbara Sankovic 


电子 邮件 地 址 (E): boss8limuxprobe. com 
示例 : barbara@contoso. com 
密码 中) : 来 永 束 来 来 来 来 来 


重新 键入 密码 CT] :  ##kkkkkkkk 
键入 你 的 Internet 服务 提供 商 提 供 的 密码 。 


回 手动 配置 服 务 器 设置 或 其 他 服务 器 类 型 W) 














《 上 一 步 @B) | 下 一 步 @) > 取消 
图 15-9 ”填写 电子 邮件 账户 信 ， 


第 5 步 : 进行 电子 邮件 服务 登录 验证 。 由 于 当前 没有 可 用 的 SSL 加 密 服务 ， 因 此 在 Dovecot 
服务 程序 的 主 配置 文件 中 写 入 了 一 条 参数 ,让 客户 可 以 使 用 明文 登录 到 电子 邮件 服务 。Outlook 
软件 默认 会 通过 SSL 加 密 协 议 尝试 登录 电子 邮件 服务 ， 所 以 在 进行 图 15-10 所 示 的 “搜索 
boss @linuxprobe.com 服务 器 设置 ”大 约 30 一 60 秒 后 ， 系 统 会 出 现 登 录 失 败 的 报错 信息 。 此 时 
只 需 再 次 单 击 “ 下 一 步 ” 按 钮 ， 即 可 让 Outlook 软件 通过 非 加 密 的 方式 验证 登录 ， 如 图 15-11 
所 示 。 








斌 























添加 新 电子 地 件 胀 户 | 
联机 搜索 您 的 服务 器 设置 . .. 





“mms -TI 


正在 配置 





正在 配置 电子 邮件 服务 器 设置 。 这 可 能 需要 几 分 钟 ; 
MY 建立 网 络 连接 
be ”搜索 boss8l1inuxprobe. com 服务 器 设置 
登录 到 服务 器 








下 一 步 0) 











图 15-10 ”进行 电子 邮件 服务 验证 登录 




















使 用 Postifx 与 Dovecot 部 署 邮件 系统 














' 油 0 新 电子 地 件 帐户 (x 
联机 搜索 您 的 服务 器 设置 . .. 
正在 配置 
正在 配置 电子 邮件 服务 器 设置 。 这 可 能 需要 几 分 钟 
建立 网 络 连 接 


》 搜索 boss8linuxprobe. com 服务 器 设置 “( 非 加 密 ) 
登录 到 服务 器 徘 加 密 ) 








下 一 步 吕 
图 15-11 使 用 非 加 密 的 方式 进行 电子 邮件 服务 验证 登录 


第 6 步 : 向 其 他 信箱 发 送 邮 件 。 在 成 功 登 录 Outlook 软件 后 即 可 尝试 编写 并 发 送 新 邮件 
了 。 只 需 在 软件 界面 的 空白 处 单 击 鼠 标 右键 ,在 弹出 的 菜单 中 选择 “新 邮件 ”命令 ( 见 图 15-12 )， 
然后 在 邮件 界面 中 填写 收 件 人 的 信箱 地 址 以 及 完整 的 邮件 内 容 后 单 击 “ 发 送 ” 按 钮 ,如 图 15-13 
所 示 。 































































































蜂 收 件 箱 - Microsoft Outlook EEC 
; 文件 昌 ” 编 (视图 W 前 往 (GJ) 工具 (D。 动 f#( 和 帮助 上 鲜 入 志 要 帮助 的 问题 - 
; 的 新 建 IN) ”| 中 让 X | 过 答复 (R) 二 全 部 答复 中 侈 转发 LW) 更 | 国 搜索 通讯 秒 ~ | 图 上 
邮件 «|| 吗 收 件 箱 Microsoft Office Outlook 测试 消息 让 
一 由 凑 要 收 人 箱 只 "| Microsoft Office Outlook [boss@linuxprobe 性 

E | 
忆 Ie 排序 字段: 日 期 ”由 新 到 旧 < 目 发 送 时 间 : 无 
5 未 读 邮 件 ee 如 
器 已 发 兰 邮 件 日 今天 荣 
人 Me | 全 MR 
邮件 文件 夹 % | Microsoft Offic... ”上 这 是 在 测试 您 的 帐户 设置 时 ，Jfi crosoft 
司 所 有 邮件 项 目 ”Microsoft Offic 有 office Outlook 自动 发 送 的 电子 邮件 。 四 
日 钙 个 人 文件 夫 所 神 
图 RSs 源 
国 曹 稿 v B3] ”新 邮件 (N) 
CD 》 
排列 方式 (A) 上 E| 
-] 邮件 | 
= 至 示 字段 9.… 癌 
于 昌 号 分担 依据 (GQ).. S 
[8 下 联系 人 多 | 排序 (R)... 站 
第 选中 
人 条 A 
4 其 他 设置 (H)..… Ly 
7 吉 ”自动 下 “ 
1 项 自 定 义 当前 视图 (O… 











图 1$-12 ”向 其 他 信箱 发 送 邮 件 


当 使 用 Outlook 软件 成 功 发 送 邮件 后 ， 便 可 以 在 电子 邮件 服务 器 上 使 用 mail 命令 查看 到 
新 邮件 提醒 了 。 如 果 想 查看 邮件 的 完整 内 容 ， 只 需 输 入 收 件 人 姓名 前 面 的 编号 即 可 。 
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15.2 部 署 基 础 的 电子 邮件 系统 


| 浸 园 可 如 们 了) Hello~ - 邮件 (HTMD [Ex 一 
邮件 | 插入 选项 设置 文本 格式 @ 
未 水 chxE -| -EECES| 5 人 Wa 萝 
Ee . 
: 芒 - 


二 
和 由 3 [于 元 站 本 = 基 重重 通讯 秒 检查 姓名 








竟 贴 板 “~ 普通 文本 吕 姓名 添加 选项 | 校对 


上 收 件 人 (O).. root@linuxprobe. com 
抄 送 (CO)..… 


主题 (U): Hello~ 














] ， FE 


当 您 收 到 这 封 邮件 时 ， 证 明 我 的 邮局 系统 实验 已 经 成 功 ! 。 











4 |[ 























图 15-13 ”填写 收 件 人 信箱 地 址 并 编写 完整 的 邮件 内 容 

















[root@linuxprobe ~] # mail 

Heirloom Mail version 12.5 7/5/10.Type ? for help. 
"/var/mail/root": 3 messages 3 unread > 

U 1 user@localhost.com Fri Jul 10 09:58 1631/123113 " [abrt] full crash r" 
U2 Anacron Sat Aug 15 13:33 18/624 "Anacron job 'cron.dai" 
U 3 boss Sat Aug 15 19:02 118/3604 "Hello~" 

&> 3 

Message 3: 

From boss@linuxprobe.com Sat Aug 15 19:02:06 2017 
Return-Path: 

X-Original-To: root@linuxprobe.com 

Delivered-To: root@linuxprobe.com 

From: "boss" 

TO 

Subject: Hello~ 

Date: Sat, 15 Aug 2017 19:02:06 +0800 
Content-Type: text/plain; charset="gb2312" 

a 省 略 部 分 输出 信息 .ee。 

当 您 收 到 这 封 邮件 时 ， 证 明 我 的 邮局 系统 实验 已 经 成 功 ! 

> quit 

Held 3 messages in /var/mail/root 
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使 用 Postifx 与 Dovecot 部 署 邮 件 系统 


15.3 ”设置 用 户 别 名 信箱 





用 户 别 名 功能 是 一 项 简单 实用 的 邮件 账户 伪装 技术 ， 可 以 用 来 设置 多 个 虚拟 信箱 的 账户 








以 接受 发 送 的 邮件 ， 从 而 保证 自身 的 邮件 地 址 不 被 泄露 ， 还 可 以 用 来 接收 自己 的 多 个 信箱 中 


的 邮件 。 刚 才 我 们 已 经 顺利 地 向 root 账户 送 了 邮件 ,下面 再 向 
15-14 所 示 。 





bin 账户 发 送 一 封 邮 件 ， 如 图 

















‘C3) 回避 与 你 好 , 用户 Bin。 - 邮件 (HTMD = | ms 
邮件 | 插入 选 页 。 设 本 文本 格式 面 
< 了 || 汪 Da 由 加- 本 
| 和 hx- -AIESEE LS 2 § \ eA 
对 | 弄 逢 检 主 姓名 | 。 六。 | 后 标志 1 | 扩 瑟 检查 
人 
迁 E 沁 迁 硕 。 | 校对 
| 收 件 人 (O).。 | binBlinuxprobe. com 
= 找 送 (CO) 
SG 
主题 (U): 你 好 ,用户 Bin。 
于 
这 是 一 封 发 给 用 户 Bin 的 文件 。* 四 




















图 15-14 ”向 服务 器 上 的 bin 账户 发 送 邮件 

















在 邮件 发 送 后 登录 到 服务 器 


a 








， 然后 尝试 以 bin 账户 的 身份 登录 。 由 于 bin 账户 在 Linux 系 


统 中 是 系统 账户 , 默认 的 Shell 终端 是 /sbin/nologin， 因 此 在 以 bin 账户 登录 时 ， 系统 会 提示 当 








前 账户 不 可 用 。 但 是 ， 在 电子 邮件 服务 器 上 使 用 mail 命令 后 ， 
账户 的 邮件 已 经 被 存放 到 了 root 账户 的 信箱 中 。 




















却 看 到 这 封 原本 要 发 送 给 bin 





[root@linuxprobe ~]# su - bin 

This account is currently not available. 
[root@linuxprobe ~]# mail 

Heirloom Mail version 12.5 7/5/10. 

Type ? for help. 


"/var/mail/root": 4 messages 4 new > 
U 1 user@localhost.com Fri Jul 10 09:58 1630/123103 " 
U2 Anacron Wed Aug 19 17:47 17/619 "Anacron job "cro 


U3 boss Sat Aug 15 19:02 118/3604 "Hello~" TU 

4 boss Wed Aug 19 18:49 116/3231 "你 好 ， 用户 Bin。" 
&> 4 

Message 4: 

From boss@linuxprobe.com Wed Aug 19 18:49:05 2017 
Return-Path: <boss@linuxprobe.com> 
X-Original-To: bin@linuxprobe.com 


Delivered-To: bin@linuxprobe.com 




















From: "boss" <boss@linuxprobe.com> 
To: <bin@linuxprobe.com> 

Subject: 你 好 ， 用 户 Bin。 

Date: Wed, 19 Aug 2017 18:49:05 +0800 


Content-Type: multipart/alternative; boundary=" 


B9104E90" 
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[aDrzt) full crash r™ 


nal 


NextPart 000 0006 O01DODAAF. 


15.3 ”设置 用 户 别名 信箱 


X-Mailer: Microsoft Office Outlook 12.0 Thread-Index: AdDabKrQzUHVBTgRQMaCtUs 
VtqfL1Q== Content-Language: zh-cn Status: R Content-Type: text/plain; charset="gb2312" 
od 省 略 部 分 输出 信息 

这 是 一 封 发 给 用 户 Bin 的 文件 。 

&> quit 


























Held 4 messages in /var/mail/root 





























太 奇 怪 了 ! 明明 发 送 给 bin 账户 的 邮件 怎么 会 被 root 账户 收 到 了 呢 ?” 其 实 ， 这 就 是 使 用 
用 户 别 名 技术 来 实现 的 。 在 aliases 邮件 别名 服务 的 配置 文件 中 可 以 看 到 ， 里 面 定 义 了 大 量 的 
用 户 别名 ， 这 些 用 户 别 名 大 多 数 是 Linux 系统 本 地 的 系统 账户 ， 而 在 冒号 (: ) 间隔 符 后 面 的 
root 账户 则 是 用 来 接收 这 些 账户 邮件 的 人 。 用 户 别名 可 以 是 Linux 系统 内 的 本 地 用 户 , 也 可 以 
是 完全 虚构 的 用 户 名 字 。 



































下 述 命 令 会 显示 大 量 的 内 容 ， 考 虑 到 篇 幅 限制 ， 这 里 已 经 做 了 部 分 删 减 ， 
的 输出 名 单 将 是 这 里 的 两 倍 多 。 





root@linuxprobe ~]# cat /etc/aliases 


Aliases in this file will NOT be expanded in the header from 
Mail, but WILL be visible over networks or from /bin/mail. 


>>>>>>>>>> The program "newaliases" must be run after 
>> NOTE >> this file is updated for any changes to 
>>>>>>>>>> show through to sendmail. 


Basic System aliases -- these MUST be present. 
mailer-daemon: postmaster 


postmaster: root 








General redirections for pseudo accounts. 
bin: root 

daemon: root 

adm: root 

ee 

sync: root 

shutdown: root 

halt:: et 

mail: root 

www: webmaster 

webmaster: root 

NO Lo0t 

security: root 

hostmaster: root 

info: postmaster 

marketing: postmaster 

sales: postmaster 

support: postmaster 

# trap decode to catch security attacks 
decode: root 

# Person who should get root's mail 


#root: marc 
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使 用 Postifx 与 Dovecot 部 署 邮 件 系统 














现在 大 家 能 猜 出 是 怎么 一 回 事 了 吧 。 原 来 aliases 邮件 别名 服务 的 配置 文件 是 专门 用 来 定 
义 用 户 别 名 与 邮件 接收 入 的 映射 。 除 了 使 用 本 地 系统 中 系统 账户 的 名 称 外 ， 我 们 还 可 以 自行 
定义 一 些 别名 来 接收 邮件 。 例 如 ,创建 一 个 名 为 xxoo 的 账户 ， 而 真正 接收 该 账户 邮件 的 应 该 
是 root 账户 。 























root@linuxprobe ~]# cat /etc/aliases 


Aliases in this file will NOT be expanded in the header from 
Mail, but WILL be visible over networks or from /bin/mail. 


>>>>>>>>>> The program "newaliases" must be run after 
>> NOTE >> this file is updated for any changes to 
>>>>>>>>>> show through to sendmail. 


Basic System aliases -- these MUST be present. 
mailer-daemon: postmaster 


postmaster: root 





General redirections for pseudo accounts. 
XXOO : root 





bin: root 
daemon: root 
adm: root 
lB: EOEt 


a 省 略 部 分 输出 信和 


和 





mk 
llly 














保存 并 退出 aliases 邮件 别名 服务 的 配置 文件 后 ， 需 要 再 执行 一 下 newaliases 命令 ,其 目 
的 是 让 新 的 用 户 别 名 配置 文件 立即 生效 。 然 后 再 次 尝试 发 送 邮件 ， 如 图 15-15 所 示 : 

这 时 ， 使 用 root 账户 在 服务 器 上 执行 mail 命令 后 ， 就 能 看 到 这 封 原本 要 发 送 给 xxoo 账 
户 的 邮件 了 。 最 后 ,， 刘 六 老 师 再 嘿 呈 一 句 ， 用 户 别名 技术 不 仪 应 用 广泛 ， 而 且 配 置 也 很 简单 。 
所 以 更 要 提醒 大 家 的 是 , 今后 千 万 不 要 看 到 有 些 网 站 上 提供 了 很 多 客服 信箱 就 轻易 相信 别人 ， 
没准 发 往 这 些 客 服 信箱 的 邮件 会 被 同一 个 人 收 到 。 

























































































加 9 了 5 = 这 是 一 封 发 送 给 xxoo 用 户 的 邮件 。 - 邮件 (HTMU) 
3 邮件 选项 ”设置 文本 格式 吏 
旦 站 | [未 体 中 文正 -五 号 -| EE 司 三 本 四 | 全 29 0 EE 
了 |B Ze- 人 -| 对 和 到 等 立 | 奉 幸 ES | ee 
普通 文本 y 姓名 添加 选项 “|| “校对 

xxoo@linucpr obe. com 

主题 (U): 这 是 一 封 发 送 给 yxoo 用 户 的 邮件 . 
顺利 的 话 会 被 root 用 户 接收 到 。。 E 














图 15-15 ”向 服务 器 上 的 xxoo 账户 发 送 邮 件 





[root@linuxprobe ~]# mail 
Heirloom Mail version 12.5 7/5/10. Type ? for help. 
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"/var/mail/root": 5 messages 1 new 4 unread 

U 1 user@localhost.com Fri Jul 10 09:58 1631/123113 "[abrt] full crash report" 
U 2 Anacron Wed Aug 19 17:47 18/629 "Anacron job 'cron.daily' on mail.linuxprobe.com" 
U 3 boss Wed Aug 19 18:44 114/2975 "hello" 

4 boss Wed Aug 19 18:49 117/3242 "你 好 ， 用 户 Bin。" 

>N 5 boss Wed Aug 19 19:18 115/3254 "这 是 一 封 发 送 给 xxoo 用 户 的 邮件 。" 









































| 复习 题 





1 . 











电子 邮件 服务 与 HITP、FTP 、NFS 等 程序 的 服务 模式 的 最 大 区 别 是 什么 ? 
答 : 当 对 方 主 机 宕 机 或 对 方 临 时 离线 时 ， 使 用 电子 邮件 服务 依然 可 以 发 送 数据 。 


























常见 的 电子 邮件 协议 有 那些 ? 








答 : SMTP、POP3 和 MAP4。 











， 电 子 邮 件 系统 中 MUA 、MTA 、MDA 三 种 服务 角色 的 用 途 分 别 是 什么 ? 




















答 : MUA 用 于 收发 邮件 、MTA 用 于 转发 邮件 、MDA 用 于 保存 邮件 。 























使 用 Postfix 与 Dovecot 部 署 电 子 邮 件 系统 前 ， 需 要 先 做 什么 ? 
答 : 需要 先 配 置 部 署 DNS 域名 解析 服务 ， 以 便 提供 信箱 地 址 解析 功能 。 











， 能 否 让 Dovecot 服务 程序 限制 允许 连接 的 主机 范围 ? 





答 : 可 以 ,在 Dovecot 服务 程序 的 主 配置 文件 中 修改 login_trusted_networks 参数 值 即 可 ， 
这 样 可 在 不 修改 防火 墙 策略 的 情况 下 限制 来 访 的 主机 范围 。 











使 用 Outlook 软件 连接 电子 邮件 服务 器 的 地 址 mail.linuxprobe.com 时 ， 提 示 找 不 到 服务 器 
或 连接 超时 ， 这 可 能 是 什么 原因 导致 的 呢 ? 

答 : 很 有 可 能 是 DNS 域名 解析 问题 引起 的 连接 超时 ， 可 在 服务 器 与 客户 端 分 别 执行 ping 
mail.linuxprobe.com 命令 ， 测 试 是 否 可 以 正常 解析 出 IP 地 址 。 























.如 何 定义 用 户 别名 信箱 以 及 让 其 立即 生效 ? 





答 : 可 直接 修改 邮件 别名 服务 的 配置 文件 ， 并 在 保存 退出 后 执行 newaliases 命令 即 可 让 新 
的 用 户 别名 立即 生效 。 
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EBERLE 


使 用 Squid 部 署 代理 缓存 服务 


本 章 讲解 了 如 下 内 容 : 


代理 缓存 服务 ; 

配置 Squid 服务 程序 ; 
正 向 代理 ; 
反 向 代理 。 


VV vyvyv 














本 章 首先 介绍 代理 服务 的 原理 以 及 作用 ， 然 后 介绍 Squid 服务 程序 正 向 解析 和 反 向 解析 
的 理论 以 及 配置 方法 。 其 中 ， 正 向 代理 模式 不 仅 可 以 让 用 户 使 用 Squid 代理 服务 器 上 网 ， 还 
可 以 基于 指定 的 IP 地 址 、 域 名 关键 词 、 网 站 地 址 或 下 载 文件 后 级 等 信息 ， 实 现 类 似 于 访问 控 
制 列 表 的 功能 。 反 向 代理 模式 可 以 大 幅 提升 网 站 的 访问 速度 ， 还 可 以 帮助 网 站 服务 器 减轻 负 
载 压 力 。 

在 掌握 了 Squid 服务 程序 的 标准 正 向 代理 模式 、 透 明正 向 代理 模式 、 访 问 控制 列表 功能 
以 及 反 向 代理 等 实用 功能 之 后 ， 读 者 不 但 可 以 进一步 理解 代理 服务 ， 提 升 服务 控制 能 力 ， 而 
且 在 步 和 人 运 维 岗位 后 能 够 游 隐 有 余地 处 理 相关 问题 。 


















































| 16.1 ”代理 缓存 服务 











Squid 是 Linux 系统 中 最 为 流行 的 一 款 高 性 能 代理 服务 软件 ， 通 常用 作 Web 网 站 的 前 置 
缓存 服务 ， 能 够 代替 用 户 向 网 站 服务 器 请 求 页 面 数据 并 进行 缓存 。 简 单 来 说 ，Squid 服务 程序 
会 按照 收 到 的 用 户 请 求 向 网 站 源 服务 器 请 求 页 面 、 图 片 等 所 需 的 数据 ， 并 将 服务 器 返回 的 数 
据 存 储 在 运行 Squid 服务 程序 的 服务 器 上 。 当 有 用 户 再 请 求 相 同 的 数据 时 ， 则 可 以 直接 将 存 
储 服务 器 本 地 的 数据 交付 给 用 户 ， 这 样 不 仅 减 少 了 用 户 的 等 待 时 间 ， 还 缓解 了 网 站 服务 器 的 
负载 压力 。 

Squid 服务 程序 具有 配置 简单 、 效 率 高 、 功 能 丰富 等 特点 , 它 能 支持 HTTP、FTP、SSL 
等 多 种 协议 的 数据 缓存 ， 可 以 基于 访问 控制 列表 ( ACL ) 和 访问 权限 列表 (ARL ) 执行 
内 容 过 滤 与 权限 管理 功能 ， 还 可 以 基于 多 种 条 件 禁 止 用 户 访 问 存 在 威胁 或 不 适宜 的 网 站 
资源 ， 因 此 可 以 保护 企业 内 网 的 安全 ， 提 升 用 户 的 网 络 体验 ， 帮 助 节省 网 络 带 宽 。 

由 于 缓存 代理 服务 不 但 会 消耗 服务 器 较 多 的 CPU 计算 性 能 、 内 存 以 及 硬盘 等 硬件 资源 ， 同 
时 还 需要 较 大 的 网 络 带 宽 来 保障 数据 的 传输 效率 ， 由 此 会 造成 较 大 的 网 络 带宽 开销 。 因 此 国内 很 
多 IDC 或 CDN 服务 提供 商会 将 缓存 代理 节点 服务 器 放置 在 二 三 线 城市 以 降低 运营 成 本 。 




























































































16.1 代理 缓存 服务 





在 使 用 Squid 服务 程序 为 用 户 提供 缓存 代理 服务 时 ， 具 有 正 向 代理 模式 和 反 向 代理 模式 
之 分 。 

所 谓 正 向 代理 模式 ， 是 指 让 用 户 通 过 Squid 服务 程序 获取 网 站 页 面 等 资源 ， 以 及 基于 访 
问 控制 列表 ( ACL ) 功能 对 用 户 访问 网 站 行为 进行 限制 ， 在 具体 的 服务 方式 上 又 分 为 标准 代 
理 模 式 与 透明 代理 模式 。 标 准 正 向 代理 模式 是 把 网 站 数据 缓存 到 服务 器 本 地 ， 提 高 数据 资源 
被 再 次 访问 时 的 效率 , 但 是 用 户 在 上 网 时 必须 在 浏览 器 等 软件 中 填写 代理 服务 器 的 卫 地 址 与 
端口 号 信息 ， 和 否则 默认 不 使 用 代理 服务 。 而 透明 正 向 代理 模式 的 作用 与 标准 正 向 代理 模式 基 
本 相同 ， 区 别 是 用 户 不 需要 手动 指定 代理 服务 器 的 卫 地 址 与 端口 号 ， 所 以 这 种 代理 服务 对 于 
用 户 来 讲 是 相对 透明 的 。 
使 用 Squid 服务 程序 提供 正 向 代理 服务 的 拓扑 如 图 16-1 所 示 。 局 域 网 内 的 主机 如 果 想 要 
访问 外 网 , 则 必须 要 通过 Squid 服务 器 提供 的 代理 才 行 , 这 样 当 Squid 服务 器 接收 到 用 户 的 指 
令 后 会 向 外 部 发 出 请 求 ， 然 后 将 接收 到 的 数据 交还 给 发 出 指令 的 那个 用 户 ， 从 而 实现 了 用 户 
的 代理 上 网 需求 。 男 外 ， 从 拓扑 图 中 也 不 难看 出 ， 企 业 中 的 主机 要 想 上 网 ， 就 必须 要 经 过 公 
司 的 网 关 服务 器 ， 既 然 这 是 一 条 流量 的 必 经 之 路 ， 因 此 企业 一 般 还 会 把 Squid 服务 程序 部 署 
到 公司 服务 器 位 置 ， 并 通过 稍 后 讲 到 的 ACL (访问 控制 列表 ) 功能 对 企业 内 员工 进行 上 网 审 
计 及 限制 。 
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图 16-1 Squid 服务 程序 提供 正 向 代理 服务 


反 向 代理 模式 是 指 让 多 台 节 点 主机 反 向 缓存 网 站 数据 ， 从 而 加 快 用 户 访问 速度 。 因 为 一 

般 来 讲 ， 网 站 中 会 普遍 加 载 大 量 的 文字 、 图 片 等 静态 资源 ， 而 且 它 们 相对 来 说 都 是 比较 稳定 
的 数据 信息 ， 当 用 户 发 起 网 站 页 面 中 这 些 静 态 资源 的 访问 请 求 时 ,我 们 可 以 使 用 Squid 服务 
程序 提供 的 反 向 代理 模式 来 进行 响应 。 而 且 ， 如 果 反 向 代理 服务 器 中 恰巧 已 经 有 了 用 户 要 访 
问 的 静态 资源 ， 则 直接 将 缓存 的 这 些 静 态 资源 发 送 给 用 户 ， 这 不 仅 可 以 加 快 用 户 的 网 站 访问 
速度 ， 还 在 一 定 程 度 上 降低 了 网 站 服务 器 的 负载 压力 。 
使 用 Squid 服务 程序 提供 反 向 代理 服务 的 拓扑 如 图 16-2 所 示 。 当 外 网 用 户 尝试 访问 某 个 
网 站 时 ， 实 际 请 求 是 被 Squid 服务 器 所 处 理 的 。 反 向 代理 服务 器 会 将 缓存 好 的 静态 资源 更 快 
地 交付 给 外 网 用 户 ， 从 而 加 快 了 网 站 页 面 被 用 户 访问 的 速度 。 并 且 巾 于 网 站 页 面 数据 中 的 着 
态 资 源 请 求 已 被 Squid 服务 器 处 理 ， 因 此 网 站 服务 器 负责 动态 数据 查询 就 可 以 了 ， 也 进而 降 
低 了 服务 器 机 房 中 网 站 服务 器 的 负载 压力 。 

总 结 来 说 ， 正 向 代理 模式 一 般 用 于 企业 局 域 网 之 中 ， 让 企业 用 户 统一 地 通过 Squid 服务 
访问 互联 网 资源 ， 这 样 不 仅 可 以 在 一 定 程度 上 减少 公 网 带宽 的 开销 ， 而 且 还 能 对 用 户 访问 的 
网 站 内 容 进 行 监管 限制 ， 一 旦 内 网 用 户 访问 的 网 站 内 容 与 蔡 止 规则 相 匹 配 ， 就 会 自动 屏蔽 网 
站 。 反 向 代理 模式 一 般 是 为 大 中 型 网 站 提供 缓存 服务 的 ， 它 把 网 站 中 的 静态 资源 保存 在 国内 
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多 个 节点 机 房 中 ， 当 有 用 户 发 起 静态 资源 的 访问 请 求 时 ， 可 以 就 近 为 用 户 分 配 节 点 并 传输 资 
源 ， 因 此 在 大 中 型 网 站 中 得 到 了 普遍 应 用 。 





Squid 服务 器 











16-2 ”Squid 服务 程序 提供 的 反 向 代理 模式 


| 16.2 ”配置 Squid 服务 程序 





Squid 服务 程序 的 配置 步 又 虽然 十 分 简单 ,但 依然 需要 为 大 家 交代 一 下 实验 所 需 的 设备 以 
及 相应 的 设置 。 首 先 需 要 准备 两 台 虚 拟 机 , 一 台 用 作 Squid 服务 器 , 另外 一 台 用 作 Squid 客户 
端 ,后 者 无 论 是 Windows 系统 还 是 Linux 系统 丝 可 ( 本 实验 中 使 用 的 是 Windows 7 操作 系统 )。 
为 了 能 够 相互 通信 ， 需 要 将 这 两 台 虚 拟 机 都 设置 为 仅 主 机 模式 (Hostonly )， 然 后 关闭 其 中 一 
台 虚 拟 机 的 电源 ， 在 添加 一 块 新 的 网 卡 后 开启 电源 ， 如 图 16-3 所 示 。 



































设备 摘要 设备 状态 

更 内 存 1.5 GB 已 连接 (G) 

器 处 理 器 4 团 让 各 这 接 (O) 

国 硕 盘 (5csD 20 6B (预先 分 可) 

习 CD/DVD (SATA) 。 正在 使 用 文件 F:\ 潮 像 文件 \RHEL.ser..， | 网络 连 接 

写 网 络 适配器 公主 机 杆 式 @ 桥接 杆 式 (8): 直接 连接 物理 网 络 
人 豆 制 物理 网 络 连接 捧 态 (p) 


加 NAT 模式 (N): 用 于 共享 主机 的 了 P 地 址 
名 保 主机 模式 (H): 与 主机 共享 的 专用 网 络 
了 自 定义 (U): 特定 虚拟 网 络 
VMnet0 (自动 桥接 ) 
2 LAN 区 上段 (L): 











[LAN 区 段 (9).… | [ 高 级 (V)..…， | 


图 16-3 在 其 中 一 台 虚 拟 机 中 添加 一 块 新 网 卡 


需要 注意 的 是 ， 这 块 新 添加 的 网 卡 设备 必须 选择 为 桥接 模式 ， 否 则 这 两 台 虚 拟 机 都 无 法 
访问 外 网 。 按 照 表 16-1 配置 这 两 台 虚 拟 机 的 IP 地址 。 












































表 16-1 Squid 服务 器 和 客户 端的 操作 系统 和 IP 地 址 信息 
主机 名 称 操作 系统 IP 地 址 
下 : 这 DHCP 模式 
Squid 服务 器 RHEL7 人 桥接 模式 
内 网 卡 : 192.168.10.10 
Squid 客户 端 Windows 7 192.168.10.20 








300 


16.2 配置 Squid 服务 程序 





这 样 一 来 ， 我 们 就 有 了 一 台 既 能 访问 内 网 ， 又 能 访问 外 网 的 虚拟 机 了 。 一 会 儿 需 要 
把 Squid 服务 程序 部 署 在 这 台 虚 拟 机 上 ,然后 让 男 外 一 台 原 本 只 能 访问 内 网 的 虚拟 机 ( 即 
Squid 客户 端 ) 通过 Squid 服务 器 进行 代理 上 网 ， 从 而 使 得 Squid 客户 端 也 能 访问 外 部 
网 站 。 

另外 ， 我 们 还 需要 检查 Squid 服务 器 是 否 已 经 可 以 成 功 访问 外 部 网 络 。 可 以 ping 一 个 外 
网 域名 进行 测试 (手动 按 下 Cul+c 键 停 上 )。 

















[root@linuxprobe ~]# ping www.linuxprobe.com 

PING www.linuxprobe.com (162.159.211.33) 56(84) bytes of data. 
64 bytes from 162.159.211.33: icmp_ seq=1 ttl1=45 time=166 ms 

64 bytes from 162.159.211.33: icmp seq=2 ttl1=45 time=168 ms 

64 bytes from 162.159.211.33: icmp seq=3 ttl1l=45 time=167 ms 

64 bytes from 162.159.211.33: icmp seq=4 ttl1=45 time=166 ms 

le 

--- www.linuxprobe.com ping statistics 一 一 一 

4 packets transmitted, 4 received, 0% packet loss, time 3006ms 
rtt min/avg/max/mdev = 166.361/167.039/168.109/0.836 ms 


当 配 置 好 Yum 软件 仓库 并 挂 载 好 设备 镜像 后 ， 就 可 以 安装 Squid 服务 程序 了 。 考 虑 到 本 
书 中 大 部 分 服务 程序 都 是 通过 Yum 软件 仓库 安装 的 ， 读 考 应 该 对 此 十 分 熟悉 ,因此 这 里 不 再 
著述 。 当 然 ， 大 家 也 不 必 担 心 自己 过 于 依赖 Yum 软件 仓库 来 管理 软件 程序 包 ， 第 20 章 会 讲 
解 如 何 通 过 源码 包 的 方式 来 安装 服务 程序 。 


























[root@linuxprobe ~]# yum install squid 
Loaded plugins: langpacks, product-id, subscription-manager 
This system is not registered to Red Hat Subscription Management. You can use 
subscription-manager to register. 
rhel | 4.1 kB 00:00 
Resolving Dependencies 
--> Running transaction check 
ee 省 略 部 分 输出 信息 .………… 

Installed: 

squid.x86 64 7:3.3.8-11.el7 
Dependency Installed: 

libecap.x86 64 0:0.2.0-8.el17 
perl-Compress-Raw-Bzip2.x86 64 0:2.061-3.el7 
perl-Compress-Raw-Z1ib.x86 64 1:2.061-4.el7 
perl-DBI.x86 64 0:1.627-4.el7 

perl-Data-Dumper.x86 64 0:2.145-3.el7 

perl-Digest.noarch 0:1.17-245.el17 

perl-Digest-MD5.x86 64 0:2.52-3.el7 
perl-IO-Compress.noarch 0:2.061-2.el17 








perl-Net-Daemon.noarch 0:0.48-5.el17 
perl-PlRPC.noarch 0:0.2020-14.el17 
Complete! 











与 之 前 配置 过 的 服务 程序 大 致 类 似 , Squid 服务 程序 的 配置 文件 也 是 存放 在 /etct 目录 下 一 
个 以 服务 名 称 命名 的 目录 中 。 表 16-2 罗列 了 一 些 常用 的 Squid 服务 程序 配置 参数 ， 大 家 可 以 
预先 浏览 一 下 。 
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表 16-2 常用 的 Squid 服务 程序 配置 参数 以 及 作用 
参数 作用 
http port 3128 监听 的 端口 号 
cache mem 64M 内 存 缓冲 区 的 大 小 
cache dir ufs /var/spool/squid 2000 16 256 | 硬盘 缓冲 区 的 大 小 





cache effective user squid 








设置 缓存 的 有 效用 户 











cache effective group squid 




















设置 缓存 的 有 效用 户 组 








dns nameservers [IP 地 址 ] 


一 般 不 设置 ， 而 是 用 服务 器 默认 的 DNS 地 址 





cache_access_1og /var/log/squid/access.10g 


访问 日 志文 件 的 保存 路 径 





cache log /var/log/squid/cache.1log 


缓存 日 志文 件 的 保存 路 径 





visible hostname linuxprobe.com 


116.3” 正 向 代理 





设置 Squid 服务 咒 的 名 称 








16.3.1 标准 正 向 代理 
Squid 服务 程序 软件 包 在 正确 安装 并 启动 后 ， 











默认 就 已 经 可 以 为 用 户 提 供 标准 正 向 代 


理 模式 服务 了 ， 而 不 再 需 要 单独 修改 配置 文件 或 者 进行 其 他 操作 。 接 下 来 在 运行 Windows 
7 系统 的 客户 端 上 面 打 开 任 意 一 款 浏 览 器 ， 然 后 单 击 “Internet 选项 ”命令 ， 如 图 16-4 











所 示 。 
[root@linuxprobe ~]# systemctl1 restart squid 
[root@linuxprobe ~]# systemctl1 enable squid 
ln -s '/usr/lib/systemd/system/squid.service' '/etc/systemd/system/multi-user. 


target .wants/squid.service' 





























帮 Internet Explorer 无 法 显示 该 网 页 - Windows Internet Explorer Ee 
OU- | 回 http:i//localhost ~| 妇 | x 省 器 Bing RE | 
F 收藏 夫 | 次 居 建议 网 站 加] 网 页 快讯 库 @ 
优 Internet Explorer 无 法 显示 该 网 页 从 -~ 国 7 己 咏 -页面 (P)- 安 人 |‖IROv@- 
右 诊断 连接 问题 (0). 
FF CE ft“ 重 新 打开 上 次 浏览 会 活 (S 
pp Internet Explorer 无 法 显示 该 网 页 人 
] 弹出 窗口 阻止 程序 (P) 
到 管理 加 载 项 (A) 
Ee 有 改 脱 机 工作 (W) 
de 1 iA pt 
[Em 打开 Windows7 系 统 的 浏览 器 后 依次 点 击 : 
兼容 性 视图 设置 (B) 
图 更 多 信息 到 全 屏 显示 (R) F11 
工具 栏 (T) 
浏览 器 栏 (X) 
> 开发 人 员工 具 (D) F12 
@ 建议 网 站 (G) 














图 16-4 单 击 浏览 器 中 的 “Internet 选项 ”命令 





302 


要 想 使 用 Squid 服务 程序 





16.3 正 向 代理 


六 提供 的 标准 正 向 代理 模式 服务 ， 就 必须 在 浏览 器 中 填写 服务 器 


的 卫 地 址 以 及 端口 号 信息 。 因 此 还 需要 在 “连接 ”选项 卡 下 单 击 “ 局 域 网 设置 ”按钮 ( 见 图 




































































16-5 )， 并 按照 图 16-6 所 示 填 写 代 理 服务 器 的 信息 ， 然 后 保存 并 退出 配置 向 导 。 
Internet 选项 个 Ex) lInternet 选项 | 9 
常规 | 安全 [隐私 | 内容 | 连接 | 程序 [高 级 局 域 网 (IAN) 设置 
oa 自动 权 置 
入 如 全 个 Pen 和 “六 自动 本 时 会 村 关 手 动 设置 。 要 确保 使 用 手动 设置 ， 请 禁用 自动 配置 
挡 号 和 虚拟 专用 网 络 设置 回 莘 部 榜 唱 设 交 | 
ET 门 使 用 自动 配置 肢 本 (8) 
ED 
代理 服务 器 
点 二 1 
- - 一 一 园 为 LA 使 用 代理 服务 器 (这些 设 置 不 用 于 找 号 或 YPN 连接 ) 0) 
累 要 为 连接 配 秆 代理 服务 器 ， 请 选择 “ 设 设置 6) 地 址 多 ): 192.168.10.10 端口 Y): 3128 
加 从 不 进行 拨号 连接 5) 国 跳 过 本 地 地 址 的 代理 服务 器 色 ) 
连接 是 否 存在 都 进行 搂 号 0 
默认 连接 句 ) 二 ee 
0 ET 
局 域 网 CAN 设置 癌 公 . 
ER 二 ee 0 
四 局 弛 役 审 四 站 民生 NS 局 二 向 设置 
应 用 应 用 失 





























图 16-5 在 “连接 ”选项 卡 中 单 击 “ 局 域 网 设置 ”按钮 





图 16-6 ”填写 代理 服务 器 的 卫 地 址 与 端 


口号 





现在 ， 用 户 可 以 使 用 Squid 服务 程序 提供 的 代理 服务 了 。 托 代理 服务 顺 转 发 的 福 ， 


网 卡 被 设置 为 仅 主机 模式 ( Hostonly ) 的 虚拟 机 也 能 二 


所 示 。 














ba 





网 站 首 外 开始 访 书 


免费 还 是 收费 ? 


3 襄 给 们 更 注重 实 理 括 术 ， 耐 忽 拓 为 红 梢 考区 而 吉 齐 


代 们 3 课程 以 石 戌 鸡 沾 内 让 
次 所 


让 号 字 习 的 每 节录 本 甘 有 收 约 












图 16-7 


娄 运 过 ID/ 同 过 要 击 是 
王 地 疹 便 胆 等 天 看 一 


二 专区 乞 转 ( 尝 得 内容 非 
个 代 则 认证 认可 本 
本 以 局 中 印 兴 50 下载 对 汪汪 得 ， 关 为 了 保 远 培训 的 质量 , 我 们 每 两 
每 联 失 年 灼 为 30 人 ， 埋 话 报 计 才 村 及 所 雪 工 具 ， 提 而 和 的 加 所 时 ， 价 性 择优 写成 - 
sprot QQ:560+241 BN ON 





而 只 北 寺 已 本 著名 力 平 呈 于 供 更 已 合理 
要 子 习 容 村 ps 


本 所 





竟 座 康 座 麻 座 


Cerrires 


间 刘 全 辣 





不 要 时 
过 方 本 ,还 到 不 民 





虚拟 机 可 以 正常 网 络 外 网 





迹 般 地 上 网 浏览 了 ， 如 图 16-7 
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如 此 公开 而 没有 密码 验证 的 代理 服务 终归 让 人 觉得 不 放心 ， 万 一 有 人 也 来 “ 蹦 网 ”该 怎 
么 办 呢 ? Squid 服务 程序 默认 使 用 3128、3401 与 4827 等 端口 号 , 因此 可 以 把 默认 使 用 的 端口 
号 修改 为 其 他 值 ， 以 便 起 到 一 定 的 保护 作用 。 现 在 大 家 应 该 都 知道 ， 在 Linux 系统 配置 服务 


























程序 其 实 就 是 修改 该 服务 的 配置 文件 , 因此 直接 在 /etc 目录 下 的 Squid 服务 程序 同名 目录 中 找 
到 配置 文件 ， 把 http_port 参数 后 面 原 有 的 3128 修改 为 10000， 即 把 Squid 服务 程序 的 代理 服 
务 端口 修改 成 了 新 值 。 最 后 一 定 不 要 忘记 重启 服务 程序 。 














所 | 



































# INSERT YOU 





省 略 部 分 输出 信 ， 





root@linuxprobe ~]# vim /etc/squid/squid.conf 


5 


R OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS 


# Example rule allowing access from your local networks. 


50 # Adapt localnet in the ACL section to list your (internal) IP networks 


51 # from where browsing should be allowed 


52 http access allow localnet 


53 http access allow localhost 


55 # And finally deny all other access to this proxy 


56 http access deny all 


58 # Squid normally listens to port 3128 
59 http port 10000 





省 略 部 分 输 


信和 上 


自 





BN son tad abl: 


[root@linuxprobe ~]# Systemct1 restart squid 


[root@linuxprobe ~]# systemctl1 enable squid 


Er “=8 


'/usr/lib/systemd/system/squid.service' '/etc/systemd/system/multi-~user. 


target .wants/squid.service' 








有 没有 突然 觉得 这 一 幕 似曾相识 ?在 10.5.3 节 讲 解 基于 端口 号 来 部 署 httpd 服务 程序 的 虚 
拟 主机 功能 时 , 我 们 在 编辑 完 httpd 服务 程序 的 配置 文件 并 重启 服务 程序 后 , 被 系统 提示 报错 。 
尽管 现在 重启 Squid 服务 程序 后 系统 没有 报错 ,但 是 用 户 还 不 能 使 用 代理 服务 。SElinux 安全 
子 系统 认为 Squid 服务 程序 使 用 3128 端口 号 是 理所当然 的 ， 因 此 在 默认 策略 规则 中 也 是 允许 


































































































的 ,但 是 现在 Squid 服务 程序 却 尝试 使 用 新 的 10000 端口 号 ， 而 该 端口 原本 并 不 属于 Squid 
服务 程序 应 该 使 用 的 系统 资源 ， 因 此 还 需要 手动 把 新 的 端口 号 添加 到 Squid 服务 程序 在 
SElinux 域 的 允许 列表 中 。 











[root@linuxprobe ~]# semanage port -1 | grep squid port t 


squid port 七 


squid port 七 


squid port t 


二 SR 3128, 3401, 4827 

udp 3401, 4827 
[root@linuxprobe ~]# semanage port -a -t squid port 七 -p tcp 10000 
[root@linuxprobe ~]# semanage port -1 | grep squid port t 

七 cp 10000, 3128, 3401, 4827 

udp 3401, 4827 


Saulid Bort. 
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16.3 正 向 代理 


16.3.2 ”ACL 访问 控制 











在 日 常 工作 中 ,企业 员工 一 般 是 通过 公司 内 部 的 网 关 服 务 器 来 访问 互联 网 , 当 将 Squid 
服务 程序 部 署 为 公司 网 络 的 网 关 服 务 器 后 ，Squid 服务 程序 的 访问 控制 列表 (ACL ) 功能 
将 发 挥 它 的 用 武之 地 。 它 可 以 根据 指定 的 策略 条 件 来 缓存 数据 或 限制 用 户 的 访问 。 比 如 很 
多 公司 会 分 时 段 地 禁止 员工 逛 淘宝 、 打 网 页 游戏 ,这些 禁止 行为 都 可 以 通过 Squid 服务 程 
序 的 ACL 功能 来 实现 。 大 家 如 果 日 后 在 人 员 流 动 较 大 的 公司 中 从 事 运 维 工 作 ， 可 以 牢记 
本 节 内 容 ,， 在 公司 网 关 服 务 器 上 部 署 的 Squid 服务 程序 中 添加 某 些 策略 条 件 ， 禁止 员工 访 
问 某 些 招聘 网 站 或 竞争 对 手 的 网 站 ， 没 准 还 能 有 效 降低 员工 的 流失 率 。 

Squid 服务 程序 的 ACL 是 由 多 个 策略 规则 组 成 的 ， 它 可 以 根据 指定 的 策略 规则 来 允许 或 
限制 访问 请 求 ， 而 且 策略 规则 的 匹配 顺序 与 防火 墙 策略 规则 一 样 都 是 由 上 至 下 ; 在 一 旦 形成 
匹配 之 后 , 则 立即 执行 相应 操作 并 结束 匹配 过 程 。 为 了 避免 ACL 将 所 有 流量 全 部 禁止 或 全 音 
放行 , 起 不 到 预期 的 访问 控制 效果 , 运 维 人 员 通 常会 在 ACL 的 最 下 面 写 上 deny all 或 者 allow 
all 语句 ， 以 避免 安全 隐患 。 

刘 遂 老师 将 通过 下 面 的 4 个 实验 向 大 家 演示 Squid 服务 程序 的 ACL 功能 有 多 么 强大 。 

实验 1: 只 允许 IP 地 址 为 192.168.10.20 的 客户 端 使 用 服务 器 上 的 Squid 服务 程序 提供 
的 代理 服务 ， 禁 止 其 余 所 有 的 主机 代理 请 求 。 

下 面 的 配置 文件 依然 是 Squid 服务 程序 的 配置 文件 , 但 是 需要 留心 配置 参数 的 填写 位 置 。 如 
果 写 的 太 靠 前 ， 则 有 些 Squid 服务 程序 自身 的 语句 都 没有 加 载 完 ， 也 会 导致 策略 无 效 。 当 然 也 不 
用 太 靠 后 ， 大 约 在 26~32 行 的 位 置 就 可 以 ， 而 且 采 用 分 行 填写 的 方式 也 便于 日 后 的 修改 。 














































































































[root@linuxprobe ~]# vim /etc/squid/squid.conf 
1 3# 
# Recommended minimum configuration: 


# 


# Adapt to list your (internal) IP networks from where browsind 
# should be allowed 
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network 
9 acl localnet src 172.16.0.0/12 # RFC1918 possible internal network 
10 acl localnet src 192.168.0.0/16 # RFC1918 possible internal network 
11 acl localnet src fc00::/7 # RFC 4193 local private network range 
12 acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) mac hines 


2 
3 
4 
5 # Example rule allowing access from your local networks. 
6 
2 
8 


14 acl SSL ports port 443 

15 acl Safe ports port 80 # http 

16 acl Safe ports port 21 # ftp 

17 acl Safe ports port 443 https 

18 acl Safe ports port 70 # gopher 

19 acl Safe ports port 210 wais 

20 acl Safe ports port 1025-65535 # unregistered ports 
21 acl Safe ports port 280 http-mgmt 

22 acl Safe ports port 488 # gss-http 

23 acl Safe ports port 591 # filemaker 











24 acl Safe ports port 777 # multiling http 
25 acl CONNECT method CONNECT 
26 acl client src 192.168.10.20 
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使 用 Squid 部 署 代理 缓存 服务 


27 # 

28 

29 # 

30 # Deny requests to certain unsafe Ports 
31 http access allow client 

32 http access deny all 


httP_access deny 


A es 省 略 部 分 输出 信息 


!Safe ports 


[root@linuxprobe ~]# Systemct1 restart squid 


# Recommended minimum Access Permission configuration: 





上 面 的 配置 参数 其 实 很 容易 理解 。 首 先 定 义 了 一 个 名 为 client 的 别名 。 





这 其 实 类 似 于 


13.6 节 讲 解 的 DNS 分 离 解析 技术 ， 当 时 我 们 分 别 定义 了 两 个 名 为 china 与 american 的 别名 
变量 ， 这 样 当 再 遇 到 这 个 别名 时 也 就 意味 着 与 之 定义 的 卫 地 址 了 。 保 存 配置 文件 后 重启 
Squid 服务 程序 ， 这 时 由 于 客户 端 主机 的 IP 地 址 不 符合 我 们 的 允许 策略 而 被 禁止 使 用 代理 
服务 ， 如 图 16-8 所 示 。 





看 诬 性 : 您 所 请 求 的 网 址 ( URL ) 无 法 获取 - Windows Internet Explorer 























OO ba ® http://www.linuxprobe.com/ 


|B[s | x ax 





次 收藏 夫 | 准 央 建议 网 站 v 央 网 页 快讯 库 
| 者 错 问 : 您 所 请 求 的 网 址 ( URL ) 无 法 获取 


网 络 连 浴 详 细 信息 








网 络 连 接 详细 信息 血 ) : 





ERROR 


当 尝试 取 回 该 URL 时 遇 到 下 面 的 错误 : hi 
访问 被 拒绝 。 


if you feel this is incorrect. 


绎 存 服务 器 的 管理 员 root. 


The requested UR 


Access control configuration prevents your re 


己 直 linuxprobe.com (squid/3,3,8) 生成 Sat, 31 Oct 2015 


属性 值 
连接 特定 的 DNS 后 器 
措 述 
物理 地 址 
忆 用 _ 了 DHCP 
ET CE 
vd bodj 具 放 


# 
IF 255. 


00-0C-29-02-15-Z8 


也 址 染 器 合 允 许 策略 ， 所 以 被 拒绝 | 


IPv4 WINS 服务 器 

已 启用 NetBI0S ove... 是 
连接 -本 地 IFv6 地 址 
IFPv6 默认 网 关 

IPv6 DNS 服务 器 fec0:0:0:EEEE: :1%1 
fec0:0:0:EEEE: :2%1 
fec0:0:0:fEEE: :3%1 


Wh 








Intel (R) PRO/1000 MT Network Coral 


fe80: :1017:342d: d4bb:9b83%11 





上 


关闭 位 ) 











provider 





关闭 CC) 























完成 


图 Internet | 保护 模式 : 启用 


dar 








虫 1009%6 了 





图 16-8 


使 用 代理 服务 浏览 网 页 失败 


实验 2: 禁止 所 有 客户 端 访问 网 址 中 包含 linux 关键 词 的 网 站 。 











包含 了 某 个 关键 词 就 会 被 立即 禁止 访问 ， 但 是 这 并 不 影响 访问 其 他 网 站 。 


Squid 服务 程序 的 这 种 ACL 功能 模式 是 比较 粗 欠 暴力 的 ， 客 户 端 访问 的 任何 网 址 中 只 要 
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[root@linuxprobe ~]# vim /etc/squid/squid.conf 


24 
25 


acl Safe ports port 777 # multiling http 
acl CONNECT method CONNECT 


26 acl deny keyword url regex -i linux 


27 # 
28 
29 # 
30 


# Deny requests to certain unsafe ports 


# Recommended minimum Access Permission configuration: 


16.3 正 向 代理 


31 http access deny deny keyword 

33 http access deny !Safe ports 

34 

[root@linuxprobe ~]# Systemct1 restart squid 











刘 六 老师 建议 大 家 在 进行 实验 之 前 ， 一 定 要 先 把 前 面 实验 中 的 代码 清理 干净 ， 以 免 不 同 
的 实验 之 间 产 生 冲 突 。 在 当前 的 实验 中 ,我 们 直接 定义 了 一 个 名 为 deny_keyword 的 别名 ， 然 
后 把 所 有 网 址 带 有 linux 关键 词 的 网 站 请 求 统统 拒绝 掉 。 当 客户 端 分 别 访问 带 有 linux 关键 词 
和 不 带 有 linux 关键 词 的 网 站 时 ， 其 结果 如 图 16-9 所 示 。 












































您 诬 考 : 您 所 请 求 的 网 址 ( URL ) 无 法 获取 - Windows Internet Explorer 可 | 实 
OO |® htp/wlinucprobe.com/ -| 鸟 [|x 玫 加 sg yo 





次 收藏 夫 | 次 加 建议 网 站 Y 居 | 网 页 快讯 库 
乡 错 吴 : 您 所 请 求 的 网 址 ( URL ) 无 法 获取 | 简 v~ 国 7 马 贮 页面 P)” 安全 (S)v IO 人 @> 





en ERROR 因为 包含 关键 词 linux， 所 以 又 被 拒绝 。 


“3 The requested URL could not be retrieved 














阁 百度 一 下 ,你 就 知道 - Windows Internet Explorer oh 

GO I LE 5 
次 收藏 夫 | 房 如 建议 网 3 

图 百度 一 下 ， 你 就 知道 芥 ~ 园 > 电器 p) 安全 (S) IO 各- 











00 
Bai 人 i 百度 LE 


4 器 ] 


全 Internet | 保护 模式 : 启用 a 7 R100% 


图 16-9” 当 客户 端 分 别 访问 带 有 linux 关键 词 和 不 带 linux 关键 词 的 网 站 时 ， 所 呈现 的 结果 























实验 3: 禁止 所 有 客户 端 访问 某 个 特定 的 网 站 。 

在 实验 2 中 , 由 于 我 们 禁止 所 有 客户 端 访问 网 址 中 包含 linux 关键 词 的 网 站 , 这 将 造成 一 
大 批 网 站 被 误 封 ， 从 而 影响 同事 们 的 正常 工作 。 其 实 通过 禁止 客户 端 访 问 某 个 特定 的 网 址 ， 
也 就 避免 了 误 封 的 行为 。 下 面 按照 如 下 所 示 的 参数 配置 Squid 服务 程序 并 重启 ， 然 后 进行 测 
试 ， 其 测试 结果 如 图 16-10 所 示 。 














[root@linuxprobe ~]# vim /etc/squid/squid.conf 

24 acl Safe ports port 777 # multiling http 

25 acl CONNECT method CONNECT 

26 acl deny url url regex http://www.linuxcool.com 
27 # 

28 # Recommended minimum Access Permission configuration: 
29 # 

30 # Deny requests to certain unsafe ports 

31 http access deny deny url 

33 http access deny !Safe ports 

34 

[root@linuxprobe ~]# Systemct1 restart squid 
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使 用 Squid 部 署 代理 缓存 服务 


| 息 《Linux 就 该 这 么 学 》 - 必 读 的 Linu 且 统 与 红 幅 RHCE 认 证 免费 自学 书 矫 - Windows Internet Explorer [lel | 





GO = http://www.linuxprobe.com/ | 分 | x | | Wl src 3 









询 收藏 夫 议 网 HL 
侈 《linux 就 该 这 么 学 》 - 必 读 的 Linux 系 统 与 红 柱 R. 价 ~ 园 * 口 吕 76p)~ 安全 9 I 上 (OO) 加 -” 

















Linux 技 术 交 流 群 C : 仍 四 SEE ，Linux 技 术 交流 群 D : 盖 本。 微 信 公 众 号 搜索 "Linux 就 该 这 么 学 "。 
免费 还 是 收费 ? 

《Linux 就 该 这 么 学 》 是 一 本 注重 实用 性 的 Linux 技 术 自学 书籍 ， 自 基础 篇 公布 后 日 常 阅读 量 已 经 超过 8000 多 人 ( 每 天 ) ， 以 后 基 
础 笨 和 进 阶 篇 都 棕 会 一 如 既往 免费 完整 的 提供 给 亲 受 的 读者 们 ， 并 且 我 们 正在 全 球 名 地 部 署 书籍 的 镜像 站 点 ， 想 用 最 迅 闪 的 访问 速 


人 特定 网 站 | 


+| x | 辆 sing 
















次 收藏 夫 | 这 刀 ] 建议 网 站 v 局] 网 页 快讯 库 了 
| 外 销 吴 您 所 请 求 的 网 址 ( URL ) 无 法 获取 价 ~- 国 7 马 昼 > mp)- 安全 S)- IROv 人 @- ” 





ERROR 


:The requested URL could not be retrieved 


四 





当 尝 试 取 回 该 URL 时 遇 到 下 面 的 错误 : http://www .linuxcool.com/ 
访问 被 拒绝 。 


Access control configuration prevents your request from being allowed at this time. Please contact your service 
provider if you feel this is incorrect. ~ 


息 Internet | 保护 模式 : 启用 9 ~ 下 100%6 ~ 


图 16-10 无 法 使 用 代理 服务 访问 这 个 特定 的 网 站 


实验 4: 禁止 员工 在 企业 网 内 部 下 载 带 有 某 些 后 缀 的 文件 。 

在 企业 网 络 中 ， 总 会 有 一 小 部 分 人 利用 企业 网 络 的 高 速 带宽 私自 下 载 资源 ( 比如 游戏 安 
装 文件 .电影 文件 等 ), 从 而 对 其 他 同事 的 工作 效率 造成 影响 。 通 过 禁止 所 有 用 户 访问 .rar 或 .avi 
等 后 级 文件 的 请 求 ， 可 以 防止 他 们 继续 下 载 资源 ， 让 他 们 知 难 而 退 。 下 面 按 照 如 下 所 示 的 参 
数 配置 Squid 服务 程序 并 重启 ， 然 后 进行 测试 ， 其 测试 结果 如 图 16-11 所 示 。 


如 果 这 些 员工 是 使 用 迅雷 等 P2P 下 载 软 件 来 下 载 资源 的 话 ， 就 只 能 使 用 专业 级 的 
应 用 防火 墙 来 禁止 了 。 





















































24 acl Safe ports port 777 # multiling http 
25 acl CONNECT method CONNECT 

26 acl badfile urlpath regex -i \.rar$ \.avis$ 
27 3# 

28 # Recommended minimum Access Permission configuration: 
29 # 

30 # Deny requests to certain unsafe ports 

31 http access deny badfile 

33 http access deny !Safe ports 

34 

[root@linuxprobe ~]# systemctl1 restart squid 
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16.3 正 向 代理 















me 和 一 ee -mm er 


[€) 加 -| 网 nepV/wwwlinaxprobecomvbookrar D-CAMusemarmati un x | 天 天 靖 汪 


原 罚 ERROR 


“3 The requested URL could not be retrieved 











当 黎 这 职 太 这 URL 时 通 到 下 要 的 异 涡 :http 人 rer linxprobs, Com book,Lar 
沪 条 以 拒 雹 . 
Ac0655 control configuration prevents your reouess from being allowed at this time. Pease contact your service Provider if you feel this is incomrect. 


鲁 椰 失 务 罕 的 等 泽 基 [004 | 











EM eeen lecalbenen (s0wd' 338) Ee Tho 11 A 

















图 16-11 无 法 使 用 代理 服务 下 载 具 有 指定 后 级 的 文件 


16.3.3 ”透明 正 向 代理 








正 向 代理 服务 一 般 是 针对 企业 内 部 的 所 有 员工 设置 的 ， 鉴 于 每 位 员工 所 掌握 的 计算 机 知 
识 不 尽 相 同 ， 如 果 您 所 在 的 公司 不 是 IT 行业 的 公司 ,， 想 教会 大 家 如 何 使 用 代理 服务 也 不 是 一 
件 容易 的 事情 。 再 者 ， 无 论 是 什么 行业 的 公司 ， 公 司 领 导 都 希望 能 采取 某 些 措施 限制 员工 在 
公司 内 的 上 网 行为 ， 这 时 就 需要 用 到 透明 的 正 向 代理 模式 了 。 

“透明 ”二 字 指 的 是 让 用 户 在 没有 感知 的 情况 下 使 用 代理 服务 , 这 样 的 好 处 是 一 方面 不 需 
要 用 户 手动 配置 代理 服务 器 的 信息 ， 进 而 降低 了 代理 服务 的 使 用 门槛 ; 另 一 方面 也 可 以 更 隐 
秘 地 监督 员工 的 上 网 行为 。 

在 透明 代理 模式 中 ， 用 户 无 须 在 浏览 器 或 其 他 软件 中 配置 代理 服务 器 地 址 、 端 口号 等 信 
息 ， 而 是 由 DHCP 服务 器 将 网 络 配置 信息 分 配给 客户 端 主机 。 这 样 只 要 用 户 打开 浏览 顺便 会 
自动 使 用 代理 服务 了 。 如 果 大 家 此 时 并 没有 配置 DHCP 服务 器 ， 可 以 像 如 图 16-12 所 示 来 手 
动 配置 客户 端 主机 的 网 卡 参数 。 



































Fe 








| 册 本 地 连接 硬性 号 
Internet 协议 版 本 4 (TCP/IPv4) 屋 性 © [mmc 
常规 | 


]) 自动 获得 IT 地 址 加 ) 
@ 使 用 下 面 的 IF 地 址 人 @) : 








IF 地 址 苞 ): 192 .168 . 10 .20 
子 网 撞 码 0 : 255 .255 .255 . 0 
默认 网 关 四 ) : 192 .168 .10 . 10 














动 获得 DNS 服务 器 地 址 @@) 
@@ 使 用 下 面 的 DNS 服务 器 地 址 鱼 ): 









































首选 DNS 服务 器 中): 8 ;8,88 
备用 DNS 服务 器 (&): 114 .114 .114 .114 
回 退出 时 验证 设置 L) 
本 
确定 _] [一 了 消 





图 16-12 ”配置 Windows 客户 端的 网 络 信息 





309 


使 用 Squid 部 署 代理 缓存 服务 








为 了 避免 实验 之 间 互 相 影响 ， 更 好 地 体验 透明 代理 技术 的 效果 ， 我 们 需要 把 客户 端 浏 览 
器 的 代理 信息 删除 ( 即 图 16-6 的 操作 )， 然 后 再 刷新 页 面 ， 就 会 看 到 访问 任何 网 站 都 失败 了 ， 
如 图 16-13 所 示 。 



































感 Internet Explorer 无 法 旺 示 该 网 页 - Windows Internet Explorer [= 一 人 一 | 
Windows 7 x64 http linuxprobe.com, | 分 | x | | b p Ey 
? 收藏 只 | 老 加 建 尺 网 站 w 居 网 页 快 汛 库 
乡 Internet Explorer 无 法 旦 示 该 网 页 位 v 国 7 局 嘲 v 页 面 P) vx 安全 (S)v 工具 (0)v 加 











ty Internet Explorer 无 法 显示 该 网 页 


您 可 以 尝试 以 下 操作 : 
| 诊断 连接 问题 


加 更 多 信息 

















16-13 ”停止 使 用 代理 服务 后 无 法 成 功 访问 网 站 








有 些 时 候 会 因为 Windows 系统 的 缓存 原因 导致 依然 能 看 到 网 页 内 容 ， 这 时 可 以 换 
个 网 站 尝试 一 下 访问 效果 。 


既然 要 让 用 户 在 无 需 过 多 配置 系统 的 情况 下 就 能 使 用 代理 服务 ， 作 为 运 维 人 员 就 必须 提 
前 将 网 络 配 置信 息 与 数据 转发 功能 配置 好 。 前 面 已 经 配置 好 的 网 络 参数 ， 接 下 来 要 使 用 8.3.2 
节 介 绍 的 SNAT 技术 完成 数据 的 转发 ， 让 客户 端 主机 将 数据 交 给 Squid 代理 服务 器 ， 再 由 后 
者 转发 到 外 网 中 。 简 单 来 说 ， 就 是 让 Squid 服务 需 作 为 一 个 中 间 人 ， 实 现 内 网 客户 端 主机 与 
外 部 网 络 之 间 的 数据 传输 。 

由 于 当前 还 没有 部 署 SNAT 功能 ， 因 此 当前 内 网 中 的 客户 端 主机 是 不 能 访问 外 网 的 : 






































C:\Users\linuxprobe>ping www.1Linuxprobe .com 
ping 请 求 找 不 到 主机 www .linuxprobe .com。 请 检查 该 名 称 ， 然 后 重 试 。 








第 8 章 已 经 介绍 了 iptables 与 firewalld 防火 墙 理 论 知 识 以 及 策略 规则 的 配置 方法 ， 大 家 
可 以 任 选 其 中 一 款 完成 接 下 来 的 实验 。 刘 遂 老 师 觉 得 firewalld 防火 墙 实在 太 简 单 了 ， 因 此 决 
定 使 用 纯 命 令 行 的 iptables 防火 墙 管理 工具 来 演示 部 署 方法 。 

要 想 让 内 网 中 的 客户 端 主 机 能 够 访问 外 网 , 客户 端 主 机 首先 要 能 获取 到 DNS 地 址 解析 服 
务 的 数据 ,， 这样 才能 在 互联 网 中 找到 对 应 网 站 的 IP 地址。 下面 通过 iptables 命令 实现 DNS 地 
址 解析 服务 53 端口 的 数据 转发 功能 ， 并 且 人 允许 Squid 服务 器 转发 IPv4 数据 包 。sysctl -p 命令 
的 作用 是 让 转发 参数 立即 生效 : 












































[root@linuxprobe ~]# iptables -F 

[root@linuxprobe ~]# iptables -t nat -A POSTROUTING -p udp --dport 53 -o 
eno33554968 -j] MASQUERADE 

[root@linuxprobe ~]# echo "net.ipv4.ip forward=1" >> /etc/sysctl.conf 
[root@linuxprobe ~]# sysctl -p 


net.ipv4.ip forward = 1 
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16.3 正 向 代理 














现在 回 到 客户 端 主机 ， 再 次 ping 某 个 外 网 地 址 。 此 时 可 以 发 现 , 虽然 不 能 连通 网 站 , 但 
是 此 时 已 经 能 够 获取 到 外 网 DNS 服务 的 域名 解析 数据 。 这 个 步骤 非常 重要 ,为 接 下 来 的 SNAT 
技术 打下 了 扎实 的 基础 。 




















C:\Users\linuxprobe>ping www.1Linuxprobe .com 


在 ping www.linuxprobe.com [116.31.127.233] 具有 32 字 节 的 数据 : 











请 求 超时 。 
116.31.127.233 的 ping 统计 信息 : 
数据 包 : 已 发 送 = 4， 已 接收 = 0， 丢 失 = 4 (100% 丢失 )， 





























与 配置 DNS 和 SNAT 技术 转发 相 比 ，Squid 服务 程序 透明 代理 模式 的 配置 过 程 就 十 分 简 
单 了 ， 只 需要 在 主 配置 文件 中 服务 器 端口 号 后 面 追加 上 transparent 单词 ( 意思 为 “透明 的 ”)， 
然后 把 第 62 行 的 井 号 (# ) 注释 符 删 除 ， 设 置 缓存 的 保存 路 径 就 可 以 了 。 保 存 主 配置 文件 并 
退出 后 再 使 用 squid -k parse 命令 检查 主 配置 文件 是 否 有 错误 ,以 及 使 用 squid -z 命令 对 Squid 
服务 程序 的 透明 代理 技术 进行 初始 化 。 









































[root@linuxprobe ~]# vim /etc/squid/squid.conf 
ae 省 略 部 分 输出 信息 
58 # Squid normally listens to port 3128 








59 http port 3128 transparent 

60 

61 # Uncomment and adjust the following to add a disk cache directory. 
62 cache dir ufs /var/spool/squid 100 16 256 





ep 省 略 部 分 输出 信息 


[root@linuxprobe ~]# squid -k parse 





2017/04/13 06:40:44| Startup: Initializing Authentication Schemes 
2017/04/13 06:4 
2017/04/13 06:4 


0:44| Startup: Initialized Authentication Scheme 'basic' 

0 
2017/04/13 06:40:44| Startup: Initialized Authentication Scheme 'negotiate' 

0 

0 


:44| Startup: Initialized Authentication Scheme 'digest'" 


2017/04/13 06:4 
2017/04/13 06:40:44| Startup: Initialized Authentication. 
ee 省 略 部 分 输出 信息 


[root@linuxprobe ~]# squid -z 


:44| Startup: Initialized Authentication Scheme ‘'ntlm' 














2017/04/13 06:41:26 kidl| Creating missing swap directories 
2017/04/13 06:4 
2017/04/13 06:4 
2017/04/13 06:4 
2017/04/13 06:4 
2017/04/13 06:4 
2017/04/13 06:4 
2017/04/13 06:4 
2017/04/13 06:4 
2017/04/13 06:4 


:26 kidl| /var/spool/squid exists 

:26 kidl| Making directories in /var/spool/squid/00 
:26 kidl| Making directories in /var/spool/squid/01 
:26 kidl| Making directories in /var/spool/squid/02 
Making directories in /var/spool/squid/03 
:26 kidl| Making directories in /var/spool/squid/04 
:26 kidl| Making directories in /var/spool/squid/05 
:26 kidl| Making directories in /var/spool/squid/06 











FRR pp pp 
MD 
oOY 
p 
QQ 
户 


:26 kidl| Making directories in /var/spool/squid/07 
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使 用 Squid 部 署 代理 缓存 服务 


2017/04/13 06:4 
2017/04/13 06:4 
2017/04/13 06:4 
2017/04/13 06:4 
2017/04/13 06:4 
2017/04/13 06:4 
2017/04/13 06:4 
2017/04/13 06:4 








Pp PP 








:26 kidl| Making directories in 
:26 kidl| Making directories in 
:26 kidl| Making directories in 
:26 kidl| Making directories in 
:26 kidl| Making directories in 
:26 kidl| Making directories in 
:26 kidl| Making directories in 


:26 kidl| Making directories in 


[root@linuxprobe ~]# systemctl1 restart squid 


/var/spool/squid/08 
/var/spool/squid/09 
/var/spool/squid/0A 
/var/spool/squid/0B 
/var/spool/squid/0Cc 
/var/spool1/squid/0D 





/var/spool/squid/0E 
/var/spool/squid/0OF 

















在 配置 妥当 并 重启 Squid 服务 程序 有 旦 系统 没有 提示 报错 信息 后 
数据 转发 功能 了 。 它 的 原理 其 实 很 简单 ,就 是 使 用 iptables 防火 墙 管 
对 网 站 80 端口 的 请 求 转发 至 Squid 服务 器 本 地 的 3128 端口 上 。 SNAT ee 发 功能 的 














置 参 数 如 下 。 





tO 以 完成 SNAT 
蛙 命 令 把 所 有 客户 端 主 机 


9 具体 配 





[root@linuxprobe ~]# iptables -t nat -A PREROUTING 


REDIRECT --to-ports 3128 


Pb EPEOborcE 03 


[root@linuxprobe ~]# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -- 
o eno33554968 -j SNAT --to 您 的 桥接 网 卡 IP 地 址 


[root@linuxprobe ~]# service iptables save 


iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ] 











这 时 客户 端 主机 再 刷新 一 下 浏览 需 ， 就 又 能 访问 网 络 了 ， 如 图 16-14 所 示 。 




















网 站 首页 明和 人 微 博 ”交流 社区 软件 资源 库 。” 挑刺 君 ， 送 您 一 套 情 怀 。 


息 《Linux 就 该 这 么 学 》 - 必 读 的 Linux 系 统 与 红 幅 认证 自学 手册 - Windows Internet Explorer = 
OO |® hp/wlinwprobe.com [人 | x 川 加 sing pr| 
文件 (和 ”编辑 (E) ”查看 (V) ”收藏 夫 (A) 工具 (T) ”帮助 (H) 

诬 收藏 夫 | 误 权 ] 建议 网 站 柜 ] 网 页 快讯 库 了 

全 《Linux 就 该 这 么 学 》 - 必 读 的 Linux 系 统 与 红 炉 … 价 -~ 国 7 电 怕 ” 页面 P)> 安全 (S)- I 上 (0) @- 





刷 沙 


作者 简介 与 著 书 的 过 程 : 
本 书 作者 刘 移 从 事 于 |inux 运 维 技术 行业 ， 较 早 时 因 兴 趣 的 驱使 接触 到 了 Linux 系 统 并 开始 学 习 。 
已 在 2012 年 考 下 红 柱 工程 师 RHCE 6 ， 今年 又 分 别 考 下 RHCE 7 版 本 与 红 输 架构 师 认证 RHCA。 





深 基 水平 有 限 有 技术 一 般 ， 若 没有 得 益 于 良师益友 的 无 私 帮助 ， 肯 定 不 能 如 此 顺利 的 完成 Linux 学 业 。 
同样 作为 一 名 普通 的 技术 人 ， 我 亲身 经 历 过 半夜 还 在 培训 蛆 的 心酸 ， 体 验 过 拥堵 6 小 时 车 程 的 无 厅 。 





所 以 为 了 能 够 帮助 读者 们 快速 入 门 Linux 系 统 ， 此 刻 我 正 怀 挑 著 一 甘 志 看 和 的 心 ， 竭 尽 全 身心 的 斗志 棕 书 编写 的 更 


好 。 


本 书 于 2015 年 的 春节 前 夕 起 笔 ， 预计 年 未 截稿 ( 初版 ) 一 一 为 了 保证 每 篇 文章 的 质量 所 以 很 可 能 会 写 不 完 。 
才 与 诚 合 ， 然 后 事 可 成 ， 圭 才 而 败 。 我 将 付出 不 亚 于 任何 人 的 努力 ， 与 可 爱 的 读者 们 一 起 编写 、 完 善 这 本 书籍 。 
本 书 的 宗旨 


帝 领 大 家 从 “0” 基 础 开始 学 习 linux 系 统 ， 配 以 大 量 Linux 相 关 实 验 逐 步 学 握 运 维 之 道 。 
本 书 内 合 配 套 教 学 图 片 与 视频 , 达到 增强 学 员 兴 趣 与 加 深 记 忆 的 作用 ， 当 然 都 是 免费 的 。 
主动 池 弃 ”不 实用 “的 部 分 ， 将 ”重点 “反复 实 路 ， 所 以 尤其 适合 希望 尽快 学 握 Linux 系 统 的 人 群 。 








咱 








中 的 客户 端 主机 是 否 还 依然 使 用 Squid 服务 程序 提供 
iptables 防火 墙 命令 就 会 发 现 ， 刘 遂 








图 16-14 ”客户 端 主机 借助 于 透明 代 玛 





技术 成 功 访问 网 络 


现在 肯定 有 读者 在 想 ， 如 果 开 启 了 SNAT 功能 ， 数 据 不 就 直接 被 转发 到 外 网 了 么 ? 内 网 














的 代理 服务 呢 ? 其 实 ， 只 要 仔细 看 一 下 


























省 老师 刚才 并 不 是 单纯 地 开启 了 SNAT 功能 ， 而 是 通过 把 客 





户 端 主机 访问 外 网 80 端口 的 请 求 转发 到 Squid 服务 器 的 3128 端口 号 上 ， 从 而 还 是 强制 客户 
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端 主机 必须 通过 Squid 服务 程序 来 上 网 。 为 了 验证 这 个 说 法 , 我 们 编辑 Squid 服务 程序 的 配置 


16.4 反 上 向 代理 


























文件 ， 单独 禁止 本 书 的 配套 站 点 (http:/www.linuxprobe.com/ )， 然 后 再 次 刷新 客户 端 主机 的 
浏览 需 ， 发 现 网 页 又 被 禁止 显示 了 ， 如 图 16-15 所 示 。 


























鳄 错 溪 : 您 所 请 求 的 网 址 ( URL ) 无法 获取 - Windows Internet Explorer en x | 
[© D> Bd ® hitp://www.linuxprobe.com/ ”| 代 | Ma | x | | 号 Bing pr| 
次 收藏 去 | 雇 多 | 建议 网 站 vw 居 | 网 页 快讯 库 了 
网 错 洋 : 您 所 请 求 的 网 址 ( URL ) 无 法 获取 答 * 园 "口中 -BEp) 安 2 IO @- ” 


NO 


当 尝 试 取 回 该 URL 时 遇 到 下 面 的 错误 : http://www.linuxprobe.com/ 
访问 被 拒绝 。 


Access control configuration prevents your request from being allowed at this time. Please contact your service provider 
if you feel this is incorrect. 


组 存 服 务 器 的 管理 员 root. 


己 外 localhost,localdomain (squid/3,3.,8) 竺 成 Fri, 14 Apr 2017 05:42:43 GMT 


= The requested URL could not be retrieved 








全 Internet | 保护 模式 : 启用 4 ” 和 世 100% 了 





116.4 











图 16-15 客户 端 主 机 再 次 无 法 访问 网 络 











有 反 向 代理 





网 站 页 面 是 由 静态 资源 和 动态 资源 一 起 组 成 的 ， 其 中 静态 资源 包括 网 站 架构 CSS 文件 、 
大 量 的 图 片 、 视 频 等 数据 ， 这 些 数 据 相 对 于 动态 资源 来 说 更 加 稳定 ,一 般 不 会 经 常 发 生 改 变 。 























但 是 ， 随 着 建站 技术 的 更 新 换代 ， 外 加 入 们 不 断 提 升 的 审美 能 力 ， 这 些 静 态 资 源 占据 的 网 站 
空间 越 来 越 多 。 如 果 能 够 把 这 些 静 态 资 源 从 网 站 页 面 中 抽 离 出 去 ， 然 后 在 全 国 各 地 部 署 静态 
资源 的 缓存 节点 ， 这 样 不 仅 可 以 提升 用 户 访问 网 站 的 速度 ， 而 且 网 站 源 服务 器 也 会 因为 这 些 
缓存 节点 的 存在 而 降低 负载 。 

反 向 代理 是 Squid 服务 程序 的 一 种 重要 模式 ， 其 原理 是 把 一 部 分 原本 向 网 站 源 服 务 器 发 
起 的 用 户 请 求 交 给 Squid 服务 器 缓存 节点 来 处 理 。 但 是 这 种 技术 的 弊端 也 很 明显 ， 如 果 有 心 


怀 不 轨 之 得 
































将 自己 的 域名 和 服务 器 反 向 代理 到 某 个 知名 的 网 站 上 面 ， 从 理论 上 来 讲 ， 当 用 户 





访问 到 这 个 域名 时 ， 也 会 看 到 与 那个 知名 网 站 一 样 的 内 容 (有 些 诈骗 网 站 就 是 这 样 骗取 用 户 


信任 的 )。 





因此 ， 当 前 许多 网 站 都 默认 禁止 了 反 向 代理 功能 。 开 启 了 CDN ( 内 容 分 发 网 络 ) 


服务 的 网 站 也 可 以 避免 这 种 穷 取 行为 。 如 果 访 问 开启 了 防护 功能 的 网 站 ,一 般 会 看 到 如 图 


16-16 所 示 





的 报错 信息 。 
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使 用 Squid 部 署 代理 缓存 服务 





File Edit View History Bookmarks Tools 


Ra 


Help 
|L 500 Internal Server Error 


192.168.1.7 


500 Internal Server Error 


3 | [图 ~ 





nginx 














i 


刘 喀 老师 为 了 实验 需要 而 临时 关闭 了 本 书 


图 16-16 访问 网 站 时 提示 报错 信 , 





并 


配套 站 点 的 CDN 服务 及 防护 插件 , 请 大 


家 尽量 选择 用 自己 的 网 站 或 博客 进行 该 实验 操作 ， 避 免 影响 到 其 他 网 站 的 正常 运转 ， 


给 他 人 造成 麻烦 。 





使 用 Squid 服务 程 











序 来 配置 反 向 代理 服务 非常 简单 。 首 先 找到 一 个 网 站 源 服 务 咒 的 卫 地 


址 ， 然 后 编辑 Squid 服务 程序 的 主 配置 文件 ， 把 端口 号 3128 修改 为 网 站 源 服 务 器 的 地 址 和 端 














口号 ， 此 时 
形式 写 人 需要 反 向 代理 的 网 站 源 服 务 器 的 IP 地 址 信 
常 网 站 使 用 反 向 代理 服务 的 效果 如 图 16-17 所 示 。 





正 向 解析 服务 会 被 暂停 ( 它 不 能 与 反 向 代理 服务 同时 使 用 )。 然 后 按照 下 面 的 参数 





息 》 保存 退出 后 重启 Squid 服务 程序 。 正 











[root@linuxprobe ~]# vim /etc/squid/squid.conf 
ed 省 略 部 分 输出 信息 

57 

58 # Squid normally listens to port 3128 


59 http_port 您 的 桥接 网 卡 IP 地 址 :80 vhost 








60 cache peer 网 站 源 服务 器 IP 地 址 parent 80 0 originserver 
61 

ee 省 略 部 分 输出 信息 

[root@linuxprobe ~]# systemctl1 restart squid 
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复习 题 








+ TE ET 
LF 有 垃 是 计 互 十 万 人 次 创办 至 今 委 信人 
所 二 全 这 ] 电 了 节 mr 入 六 三重 
Nt 人 i 和 ET 
二 a . 
看 京 ， 记 大 网 、 开 短语 网 一 页 今 、Cnbcta 字 和 tir 才 全 等 FT 二 Cecte Unae 人 网，Cenios 修 妆 
Um, up 8 坏 、Linurdomn、 则 CN 于 改 不 近 扣 你 拉 有 人 本 耻 衬 全 全 ,已 最 计 访 国 内 外 圭 起 门 广 攻 作 旨 明证 过 
十 全 次， 湛 反 地 过 ”有 Rsjjhi 关 我 们 已 经 撞 有 了 问 菜 国 记 人数 生 步 的 丰 志 网 户 基 全 “累计 过 条 des 











的 于 学 | 数 舞 实 对 更 期 [生计 葵 云 ] 


图 16-17 使 用 反 向 代理 模式 访问 网 站 























| 复习 题 





1. 





简 述 Squid 服务 程序 提供 的 正 向 代理 服务 的 主要 作用 。 
答 : 实现 代理 上 网 、 隐 藏 用 户 的 真实 访问 信息 以 及 对 控制 用 户 访问 网 站 行为 的 访问 控制 列 
表 (ACL ) 进行 限制 。 














， 简 述 Squid 服务 程序 提供 的 反 向 代理 服务 的 主要 作用 。 





答 : 加 快 用 户 访问 网 站 的 速度 ， 降 低 网 站 源 服 务 器 的 负载 压力 。 


. Squid 服务 程序 能 够 提供 的 代理 模式 有 哪些 ? 











答 : 正 向 代理 模式 与 反 向 代理 模式 , 其 中 正 向 代理 模式 又 分 为 标准 正 向 代理 模式 与 透明 正 
向 代理 模式 。 


: a 与 透明 正 向 代理 模式 的 区 别 是 什么 ? 


: 区 别 在 于 用 户 是 否 需要 配置 代理 服务 器 的 信息 。 若 使 用 透明 代理 模式 ， 则 用 户 感 知 不 
ee。 在 。 











使 用 Squid 服务 程序 提供 的 标准 正 向 代理 模式 时 ， 需 要 在 浏览 器 中 配置 哪些 信息 ? 
答 : 需要 填写 Squid 服务 器 的 卫 地 址 及 端口 号 信息 。 

















.， 若 需要 通过 ACL 功能 限制 用 户 不 能 使 用 代理 服务 访问 指定 网 站 ， 参 数 该 怎么 写 








答 : 以 本 书 的 配套 学 习 站 点 (www.linuxprobe.com ) 为 例 ， 可 使 用 参数 “acl en 
Url_regex http://www.linuxprobe.com” 和 “http_access deny deny_url” 来 禁止 用 户 访问 这 个 
指定 的 网 站 。 





. 若 让 客户 端 主机 使 用 透明 正 向 代理 模式 ， 则 需要 用 DHCP 服务 器 为 客户 端 主机 分 配 什 





么 信息 ? 
答 : 需要 为 客户 端 主机 分 配 IP 地 址 、 子 网 掩 码 、 网 关 地 址 以 及 外 部 DNS 服务 需 地 址 。 
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本 章 讲解 了 如 下 内 容 : 
iSCSI 技术 概述 ; 

创建 RAID 磁盘 阵列 ; 
配置 iSCSI 服务 端 ; 
配置 Linux 客户 端 ; 
配置 Windows 客户 端 。 


VV vvyvyv 


本 章 开 篇 介绍 了 计算 机 硬件 存储 设备 的 不 同 接口 技术 的 优 缺 点 , 并 由 此 切入 iSCSI 技 
术 主 题 的 讲解 。iSCSI 技术 实现 了 物理 硬盘 设备 与 TCP/IP 网 络 协议 的 相互 结合 , 使 得 用 户 
可 以 通过 互联 网 方便 地 访问 远程 机 房 提供 的 共享 存储 资源 。 本 章 将 带领 大 家 在 Linux 系统 
上 部 署 iSCSI 服 务 端 程序 ,并 分 别 基 于 Linux 系统 和 Windows 系统 来 访问 远程 的 存储 资源 。 
通过 本 章 以 及 第 6 章 、 第 7 章 的 学 习 ,， 读 者 将 进一步 理解 和 掌握 如 何在 Linux 系统 中 管理 
硬盘 设备 和 存储 资源 ， 为 今后 走向 运营 岗位 打下 坚实 的 基础 。 



























































17.1 iSCSI 技术 概述 














硬盘 是 计算 机 硬件 设备 中 重要 的 组 成 部 分 之 一 , 硬盘 存储 设备 读 写 速度 的 快慢 也 会 对 
服务 器 的 整体 性 能 造成 影响 。 第 6 章 、 第 7 章 讲解 的 硬盘 存储 结构 、RAID 磁盘 阵列 技术 
以 及 LVM 技术 等 都 是 用 于 存储 设备 的 技术 ， 尽 管 这 些 技术 有 软件 层面 和 硬件 层面 之 分 ， 
但 是 它们 都 旨 在 解决 硬盘 存储 设备 的 读 写 速度 问题 ,或 者 竭力 保障 存储 数据 的 安全 。 

为 了 进一步 提升 硬盘 存储 设备 的 读 写 速度 和 性 能 ， 人 们 一 直 在 努力 改进 物理 硬盘 设备 的 
接口 协议 。 当 前 的 硬盘 接口 类 型 主要 有 IDE、SCSI 和 SATA 这 3 种 。 

> IDE 是 一 种 成 熟 稳 定 、 价 格 便宜 的 并 行 传输 接口 。 

> SATA 是 一 种 传输 速度 更 快 、 数 据 校 验 更 完整 的 串 行 传 输 接口 。 

> SCSI 是 一 种 用 于 计算 机 和 硬盘 、 光 驱 等 设备 之 间 系 统 级 接口 的 通用 标准 ， 具 有 系统 

资源 占用 率 低 、 转 速 高 、 传 输 速度 快 等 优点 。 

不 论 使 用 什么 类 型 的 硬盘 接口 ， 硬 盘 上 的 数据 总 是 要 通过 计算 机 主板 上 的 总 线 与 
CPU 、 内 存 设备 进行 数据 交换 , 这 种 物理 环境 上 的 限制 给 硬盘 资源 的 共享 带 来 了 各 种 不 便 。 
后 来 ，IBM 公司 开始 动手 研发 基于 TCP/IP 协议 和 SCSI 接口 协议 的 新 型 存储 技术 ， 这 也 
就 是 我 们 目前 能 看 到 的 互联 网 小 型 计算 机 系统 接口 (iSCSI, Internet Small Computer System 



















































































































































































17.2 创建 RAID 磁盘 阵列 





Interface )。 这 是 一 种 将 SCSI 接口 与 以 太 网 技术 相 结合 的 新 型 存储 技术 ， 可 以 用 来 在 网 络 
中 传输 SCSI 接口 的 命令 和 数据 。 这 样 ， 不 仅 克服 了 传统 SCSI 接口 设备 的 物理 局 限 性 ， 
实现 了 跨 区 域 的 存储 资源 共享 ， 还 可 以 在 不 停机 的 状态 下 扩展 存储 容量 。 

为 了 让 各 位 读者 做 到 知 其 然 ， 知 其 所 以 然 ， 以 便 在 工作 中 灵活 使 用 这 项 技术 ， 下 面 将 讲 
解 一 下 iSCSI 技术 在 生产 环境 中 的 优势 和 和 劣势。 首先， iSCSI 存储 技术 非常 便捷 ,在 访问 存储 
资源 的 形式 上 发 生 了 很 大 变化 ， 摆 脱 了 物理 环境 的 限制 ， 同 时 还 可 以 把 存储 资源 分 给 多 个 服 
务 器 共同 使 用 , 因此 是 一 种 非常 推荐 使 用 的 存储 技术 。 但 是 ,iSCSI 存储 技术 受到 了 网 速 的 制 
约 。 以 往 ， 硬 盘 设 备 直 接 通 过 主板 上 的 总 线 进行 数据 传输 ， 现 在 则 需要 让 互联 网 作为 数据 传 
输 的 载体 和 通道 ， 因 此 传输 速率 和 稳定 性 是 iSCSI 技术 的 瓶颈 。 随 着 网 络 技术 的 持续 发 展 ， 
相信 iSCSI 技术 也 会 随 之 得 以 改善 。 

既然 要 通过 以 太 网 来 传输 硬盘 设备 上 的 数据 ， 那 么 数据 是 通过 网 卡 传人 到 计算 机 中 的 
么 ? 这 就 有 必要 向 大 家 介绍 iSCSI-HBA 卡 了 【 见 图 17-1 )。 与 一 般 的 网 卡 不 同 ( 连接 网 络 总 
线 和 内 存 ， 供 计算 机 上 网 使 用 )，iSCSI-HBA 卡 连 接 的 则 是 SCSI 接口 或 FC (光纤 通道 ) 总 线 
和 内 存 ， 专 门 用 于 在 主机 之 间 交 换 存储 数据 ， 其 使 用 的 协议 也 与 一 般 网 卡 有 本 质 的 不 同 。 运 
行 Linux 系 统 的 服务 器 会 基于 iSCSI 协议 把 硬盘 设备 命令 与 数据 打包 成 标准 的 TCP/ 耻 数据 包 ， 
然后 通过 以 太 网 传输 到 目标 存储 设备 ， 而 当 目 标 存 储 设备 接收 到 这 些 数据 包 后 ， 还 需要 基于 
iSCSI 协议 把 TCP/IP 数据 包 和 解压 成 硬盘 设备 命令 与 数据 。 






























































图 17-1 iSCSI-HBA 卡 实 拍 图 


117.2 ”创建 RAID 磁盘 阵列 





既然 要 使 用 iSCSI 存储 技术 为 远程 用 户 提供 共享 存储 资源 ， 首 先 要 保障 用 于 存放 资源 的 
服务 器 的 稳定 性 与 可 用 性 ， 否 则 一 旦 在 使 用 过 程 中 出 现 故障 ， 则 维护 的 难度 相 较 于 本 地 硬盘 
设备 要 更 加 复杂 、 困 难 。 因 此 推荐 各 位 读者 按照 本 书 第 7 章 讲解 的 知识 来 部 署 RAID 磁盘 阵 
列 组 , 确保 数据 的 安全 性 。 下 面 以 配置 RAID 5 磁盘 阵列 组 为 例 进行 讲解 。 考 虑 到 第 7 章 已 经 
事 无 巨细 地 讲解 了 RAID 磁盘 阵列 技术 和 配置 方法 ， 因 此 本 节 不 会 再 重复 介绍 相关 参数 的 意 
义 以 及 用 途 ， 忘 记 了 的 读者 可 以 翻 回 去 看 一 下 。 
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首先 在 虚拟 机 中 添加 4 块 新 硬盘 , 用 于 创建 RAID 5 磁盘 阵列 和 备份 盘 , 如 图 17-2 所 示 。 











直 拟 机 设 轩 m 大 _ msl 
硬件 选项 
在 Se 拓 委 可 给 此 内 机 的 站 存盘 。 内 丰 大 小 必须 为 4 MB 
品 处 理 器 4 
(SC5D) 0 此 虚拟 机 的 内 存 (M): 。 2048 宇 | we 
加 硬 雯 2 (5C51) 20 68 
局 硕 盘 3 (SCSI) 20 GB 
局 硕 盟 4 (SCSI) 20 GB 36B 
局 硕 盘 5 (SCSI1) 206B 268 司 梧 
CD/DVD (SATA) 。 正在 使 用 文件 D;\ 独 像 \RHEL-Server-… 
窟 网 给 远 本 器 公主 机 楼 式 | 
居 显 示 藻 自动 检测 512MB a 
256 MB 6280 MB 
128 MB 国 建议 内 存 
64MB 2048 MB 


] 建议 的 最 小 窜 户 机 操作 系统 内 存 
15MB 1024 MB 


看 必须 先 关闭 虚拟 机 ， 才 能 降低 内 存 里 。 





i 开机 本 各 俐 的 有 的 768 MB 用 作 图 形 内 存 。 您 可 以 
在 亚 示 次 设置 页 面 中 更 改 此 款 旺 * 


| [加 添加 (A).. | 





| LL 码 _][ 了 || 和 那 且 


图 17-2 添加 4 块 用 于 创建 RAID 5 级 别 磁盘 阵列 的 新 硬盘 


启动 虚拟 机 系统 ， 使 用 mdadm 命令 创建 RAID 磁盘 阵列 。 其 中 ，-Cv 参数 为 创建 阵列 并 
显示 过 程 , /dev/md0 为 生成 的 阵列 组 名 称 , -n 3 参数 为 创建 RAID 5 磁盘 阵列 所 需 的 硬盘 个 数 ， 
-15 参数 为 RAID 磁盘 阵列 的 级 别 ，-x 1 参数 为 磁盘 阵列 的 备份 盘 个 数 。 在 命令 后 面 要 逐一 写 
上 使 用 的 硬盘 名 称 。 另 外 ， 还 可 以 使 用 第 3 章 讲解 的 通配符 来 指定 硬盘 设备 的 名 称 ， 有 兴 
的 读者 可 以 试 一 下 。 























[root@linuxprobe ~]# mdadm -Cv /dev/md0 -n 3 -1 5 -x 1 /dev/sdb /dev/sdc /dev/ 
sdd /dev/sde 

mdadm: layout defaults to left-symmetric 

mdadm: layout defaults to left-symmetric 

mdadm: chunk size defaults to 512K 

mdadm: size set to 20954624K 

mdadm: Defaulting to version 1.2 metadata 

mdadm: array /dev/md0 started. 





在 上 述 命令 成 功 执行 之 后 ， 得 到 一 块 名 称 为 /devmd0 的 新 设备 ， 这 是 一 块 RAID 5 级 别 
的 磁盘 阵列 ， 并 且 还 有 一 块 备 f 人 护航 。 大 家 可 使 用 mdadm -D 命令 来 查看 
设备 的 详细 信息 。 另 外 , 由 于 在 使 用 远程 设备 时 极 有 可 能 出 现 设备 识别 顺序 发 生变 化 的 情况 ， 
因此 ， 如 果 直 接 在 fstab 挂 载 配置 文件 中 写 人 /devwsdb 、/dev/sdc 等 设备 名 称 的 话 ， 就 有 可 能 在 
下 一 次 挂 载 了 错误 的 存储 设备 。 而 UUID 值 是 设备 的 唯一 标识 符 ， 可 以 用 于 精确 地 区 分 本 地 
或 远程 设备 。 于 是 我 们 可 以 把 这 个 值 记 录 下 来 ， 一 会 儿 准 备 填写 到 挂 载 配置 文件 中 。 

[root@linuxprobe ~]# mdadm -D /dev/md0 

/dev/mdo0: 


Version : 1.2 
Creation Time : Thu Sep 24 21:59:57 2017 
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Raid Level 


Array Size : 


Used Dev Size : 


Raid Devices : 


5 Eatds 
41909248 (39.97 GiB 42.92 GB) 
20954624 (19.98 GiB 21.46 GB) 
3 
4 


Total Devices : 


Persistence 


: Superblock is persistent 


Update Time : 
State s 
Active Devices : 


Working Devices : 


Failed Devices : 


Spare Devices : 


Layout : 
Chunk Size : 
Name : 

UUID : 


Events 
Number 
0 


1 
4 
3 


Major 


8 


8 
8 
8 


Thu Sep 24 22:02:23 2017 
clean 

3 

4 

0 

1 

left-symmetric 
512K 
linuxprobe.com:0 


17.3 配置 iSCSI 服务 端 


(local to host linuxprobe.com) 


3370£643:cl0efd6a:44e91f2a:20c71lf3e 
: 26 


Minor RaidDevice State 
16 0 active sync /dev/sdb 
32 下 active Sync /dev/sdc 
48 2 active sync /dev/sdd 
64 一 spare /dev/sde 





17.3 配置 iSCSI 服务 端 





iSCSI 技术 在 工作 形式 上 分 为 服务 端 (target ) 与 客户 端 (initiator )。iSCSI 服务 端 即 用 于 












































存放 硬盘 存储 资源 的 服务 器 ， 它 作为 前 面 创建 的 RAID 磁盘 阵列 的 存储 端 ， 能 够 为 用 户 提供 
可 用 的 存储 资源 。iSCSI 客户 端 则 是 用 户 使 用 的 软件 , 用 于 访问 远程 服务 端的 存储 资源 。 下 面 
按照 表 17-1 来 配置 iSCSI 服务 端 和 客户 端 所 用 的 卫 地 址 。 

表 17-1 iSCSI 服务 端 和 客户 端的 操作 系统 以 及 IP 地 址 

主机 名 称 操作 系统 IP 地 址 

iSCSI 服务 端 RHEL7 192.168.10.10 
iSCSI 客户 端 RHEL 7 192.168.10.20 

第 1 步 : 配置 好 Yum 软件 仓库 后 安装 iSCSI 服务 端 程序 以 及 配置 命令 工具 。 通过 在 yum 


命令 








的 后 面 添加 -y 参数 ， 在 安装 过 程 中 就 不 需要 再 进 


2 一 工 


位 填 




















F 动 确认 了 : 





Loaded plugins: 
ee 省 略 部 分 输 则 


langpacks, product-id, 





Installing: 





信和 





a 


targetcli noarch 2.1.fb34-1.el7 rhel 55 k 
targetd noarch 0.7.1-1.el7 rhel 48 k 
Installing for dependencies: 


PyYAML x86 64 3.10-11.e17 rhel 153 k 
libyaml x86 64 0.1.4-10.el7 rhel 55 k 
lvm2-python-libs x86 64 7:2.02.105-14.el7 rhel 153 k 
pyparsing noarch 1.5.6-9.el7 rhel 94 k 
python-configshell noarch 1:1.1.fb1l1l-3.el7 rhel 64 k 


root@linuxprobe ~]# yum -y install targetd targetcli 


subscription-manager 
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Python-kmoq x86 64 0.9-4.el7 rhel 57 k 
python-rtslib noarch 2.1.fb46-1.el7 rhel 75 k 
python-setproctitle x86 64 1.1.6-5.el1l7 rhel 15 k 
python-urwid x86 64 1.1.1-3.el7 rhel 654 k 
ee 省 略 部 分 输出 信息 
Installed: 

targetcli.noarch 0:2.1.fb34-1.el7 targetd.noarch 0:0.7.1-1.el7 
Dependency Installed: 

PyYAML .x86 64 0:3.10-11.el7 

libyaml .x86 64 0:0.1.4-10.el17 
lvm2-python-libs.x86_ 64 7:2.02.105-14.el7 
pyparsing.noarch 0:1.5.6-9.el17 
python-configshell.noarch 1:1.1.fb1ll1l-3.el7 
python-kmod.x86 64 0:0.9-4.el17 
python-rtslib.noarch 0:2.1.fb46-1.el7 
python-setproctitle.x86 64 0:1.1.6-5.el17 
python-urwid.x86 64 0:1.1.1-3.el17 
Complete! 





安装 完成 后 启动 SCSI 的 服务 端 程序 targetd, 然后 把 这 个 服务 程序 加 入 到 开机 启动 项 中 ， 
以 便 下 次 在 服务 器 重启 后 依然 能 够 为 用 户 提 供 iSCSI 共享 存储 资源 服务 : 








[root@linuxprobe ~]# systemctl1 start targetd 

[root@linuxprobe ~]# systemctl1 enable targetd 

ln -s '/usr/lib/systemd/system/targetd.service' '/etc/systemd/system/multi-~user. 
target .wants/targetd.service"' 























第 2 步 : 配置 iSCSI 服务 端 共享 资源 。targetcli 是 用 于 管理 iSCSI 服务 端 存 储 资源 的 专 月 
配置 命令 ， 它 能 够 提供 类 似 于 fdisk 命令 的 交互 式 配 置 功能 ,将 iSCSI 共享 资源 的 配置 内 容 扩 
象 成 “目录 ”的 形式 ， 我 们 只 需 将 各 类 配置 信息 填 人 到 相应 的 “目录 ”中 即 可 。 这 里 的 难点 
主要 在 于 认识 每 个 “参数 目录 ”的 作用 。 当 把 配置 参数 正确 地 填写 到 “目录 ”中 后 ，iSCSI 
服务 端 也 可 以 提供 共享 资源 服务 了 。 

在 执行 targetcli 命令 后 就 能 看 到 交互 式 的 配置 界面 了 。 在 该 界面 中 可 以 使 用 很 多 Linux 
命令 ， 比 如 利用 ls 查看 目录 参数 的 结构 ， 使 用 cd 切换 到 不 同 的 目录 中 。/backstores/block 是 
iSCSI 服务 端 配置 共享 设备 的 位 置 。 我们 需要 把 刚刚 创建 的 RAID 5 磁盘 阵列 md0 文件 加 入 到 
配置 共享 设备 的 “资源 地” 中， 并 将 该 文件 重新 命名 为 disk0， 这 样 用 户 就 不 会 知道 是 由 服务 
器 中 的 哪 块 硬盘 来 提供 共享 存储 资源 ， 而 只 会 看 到 一 个 名 为 disk0 的 存储 设备 。 





i 





==， 


























nn 

































































[root@linuxprobe ~]# targetcili 

Warning: Could not load preferences file /root/.targetcli/prefs.bin. 
targetcli shell version 2.1.fb34 

Copyright 2011-2013 by Datera, Inc and others. 

For help on commands, type '‘'help'. 


/> 1s 

SO/ 全 全 全 生生 二 生生 全 和 让 全 生 全 全 全 全 全 生生 二 生生 全 全 时 [ ] 
-backsbores eo 币 人生 衣 和 计生 和 于 

| ee [Storage Objects: 0] 

| Of TLL sr er a Rd ed a da te [Storage Objects: 0] 

| GO=, DSCSL vi on [Storage Objects: 0] 

| 6 andisk sn or [Storage Objects: 0] 
[ots -fo eH Ee 和 汪 -和 生 区 生 生生 人 < 全 生生 2 [Targets: 0] 

eo a es) D320 RP [Targets: 0 


/> cd /backstores/block 
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/backstores/block> create disk0 /dev/md0 
Created block storage object disk0 using /dev/mdo0. 
/backstores/block> cd / 


/> 1s 

OS ne a a a a 全 和 天 估 汪 让 半 全 全 交 [ ] 
0= Packstores - 二 向 全 人 二 全 生生 全 人生 全 生生 全 人 全 全 人 全 贡生 全 全 全 全 全 抽 生 全 全 全 人 全- 二 全 | 
| SG- DILOGE 人 人 证 估 帮 式 放 全 志 芝 省 基 全 二 六 全 作证 站 你 直 开 太 二 寺 过 才 直 人 十 阁 约 十 直 过 过 世道 辣 二 人 训 [Storage Objects: 1] 
| | 0= SO 00 0 [/dev/md0 (40.0GiB) write-thru deactivated] 
| Oy ETL vi Mh Se ee a me de [Storage Objects: 0] 
| oO DOS ,veo i [Storage Objects: 0] 
| oO— EamdliesRr ev em i i i [Storage Objects: 0] 
OS LOGSL ea [Targets: 0] 
G00Ppback ,ss [Targets: 0] 





CE 





第 3 步 : 创建 1SCSI target 名 称 及 配置 共享 资源 。iSCSI target 名 称 是 由 系统 自动 生成 的 ， 


这 是 一 串 用 于 描述 共享 资源 的 唯一 字符 串 。 稍 后 用 户 在 扫 摘 iSCSI 服务 端 时 即 可 看 到 这 个 字 














和 ， 因 此 我 们 不 需要 记 住 它 。 系 统 在 生成 这 个 target 名 称 后 ， 还 会 在 /iscsi 参数 目录 中 创建 














一 个 与 其 字符 串 同 名 的 新 “目录 ”用 来 存放 共享 资源 。 我 们 需要 把 前 面 加 入 到 iSCSI 共享 资 
源 池 中 的 硬盘 设备 添加 到 这 个 新 目录 中 ， 这 样 用 户 在 登录 iSCSI 服务 端 后 ， 即 可 默认 使 用 这 
硬盘 设备 提供 的 共享 存储 资源 了 。 




















/> cd iscsi 

/iscsi> 

/iscsi> create 

Created target iqn.2003-01.o0org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80. 
Created TPG 1. 

/iscsi> cd iqn.2003-01.o0org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80/ 
/iscsi/iqn.20....d497c356ad80> 1s 


o- iqn.2003-01.o0org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 .... [TPGs: 1] 

如 一 tpqlL [no-gen-acls, no-auth] 

Os. Cle Do ee ee ee [ACLs: 0] 

Gr: LUns. Syed ey eb oy ed sd [LUNs: 0] 

和 一 [Portalss, 0] 
/iscsi/iqn.20....d497c356ad80> cd tpgl/luns 


/iscsi/iqn.20...d80/tpgl/luns> create /backstores/block/disk0 
Created LUN 0. 





说 ， 





第 4 步 : 设置 访问 控制 列表 ( ACL )。iSCSI 协议 是 通过 客户 端 名 称 进行 验证 的 ， 也 就 是 
用 户 在 访问 存储 共享 资源 时 不 需要 输入 密码 ， 只 要 iSCSI 客户 端的 名 称 与 服务 端 中 设置 








的 访问 控制 列表 中 某 一 名 称 条 目 一 致 即 可 ， 因 此 需要 在 iSCSI 服务 端的 配置 文件 中 写 人 一 串 
能 够 验证 用 户 信息 的 名 称 。acls 参数 目录 用 于 存放 能 够 访问 iSCSI 服务 端 共享 存储 资源 的 客户 
端 名 称 。 刘 造 老师 推荐 在 刚刚 系统 生成 的 iSCSI target 后 面 追加 上 类 似 于 :client 的 参数 ， 这 样 
既 能 保证 客户 端的 名 称 具有 唯一 性 ， 又 非常 便于 管理 和 阅读 : 





























/Liscsi/iqns20%. id80/tpgl/lurnis> ‘Cd. 

/iscsi/iqn.20...c356ad80/tpgl> cd acls 

/iscsi/iqn.20...d80/tpgl/acls> create iqn.2003-01.org.linux-iscsi.linuxprobe. 
x8664:sn.d497c356ad80:client 

Created Node ACL for iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80: 
client 

Created mapped LUN 0. 
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第 5 步 : 设置 iSCSI 服务 端的 监听 卫 地 址 和 端口 号 。 位 于 生产 环境 中 的 服务 器 上 可 能 


多 块 网 卡 , 那么 到 底 是 由 哪个 网 卡 或 IP 地 址 对 外 提供 共享 存储 资源 呢 ? 这 就 需要 我 们 在 配置 





文件 中 手动 定义 iSCSI 服务 端的 信息 ， 即 在 portals 参数 目录 中 写 上 服务 器 的 卫 地 址 。 接 下 来 


将 由 系统 自动 开启 服务 器 192.168 


.10.10 的 3260 端口 将 向 外 提供 iSCSI 共享 存储 资源 服务 : 





/iscsi/iqn.20...d80/tpgl/acls> cd .. 
/iscsi/iqn.20...c356ad80/tpgl> cd portals 
/iscsi/iqn.20.../tpgl/portals> create 192.168.10.10 
Using default IP port 3260 

Created network portal 192.168.10.10:3260. 














第 6 步 : 配置 妥当 后 检查 配置 信息 ， 重 启 iSCSI 服务 端 程序 并 配置 防火 墙 策略 。 在 参数 








文件 配置 妥当 后 ， 可 以 浏览 刚刚 本 








c 置 的 信息 ， 确 保 与 下 面 的 信息 基本 一 致 。 在 确认 信息 无 误 














后 输入 exit 命令 来 退出 配置 。 注 意 ， 千 万 不 要 习惯 性 地 按 Ctrl + C 组 合 键 结束 进程 ， 这 样 不 

















< 沙 


加 
也 时 























保存 配置 文件 ， 我 们 的 工作 也 就 白费 了 。 最 后 重启 iSCSI 服务 端 程序 ， 再 设置 firewalld 防 
策略 ， 使 其 放行 3260/tep 端口 号 的 流量 。 

















/iscsi/iqn.20.../tpgl/port 
OE /ni A ea a 

0= backstOres ee nT 
让 JR 
| o- disk0 ........... 
(© th fe 
0 BSCSL, i 
Oo .ranmdisk Lote ti 


OF TSO Ma 


oO— tpql Grrr 
= 


Mapped LUNs: 1] 
| o- mapped lun0 


o- 192.168.10.10 
DR 全 这 全 这 全 训令 二 濑 这 
/> exit 





als> ls / 

Pr er ee] 

让 ere] 

i Storage Objects: 1] 

a [/dev/md0 (40.0GiB) write-thru activated] 
和 Storage Objects: 0] 

PE Storage Objects: 0] 

a en Storage Objects: 0] 

Rr Targets: 1] 


o- iqn.2003-01 .org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 ... [TPGs: 1] 





人 no-gen-acls, no-auth] 
ee [ACLs: 1] 


| o- iqn.2003-01.org.linux-iscsi.1linuxprobe.x8664:sn.d497c356ad80:client 


A [Lun0 block/disk0 (rw)] 
Rm [LUNs: 1] 

人 [block/disk0 (/dev/md0)] 

i [PoOrtalss.' 1] 

:3260 [OK] 

汪汪 二 全 泛 [Targets: 0] 


Global pref auto save on exit=true 


Last 10 configs saved in / 
Configuration saved to /et 
[root@linuxprobe ~]# syste 
[root@linuxprobe ~]# firew 
success 

[root@linuxprobe ~]# firew 


Success 


etc/target/backup. 
c/target/saveconfig.json 

mctl restart targetd 

all-cmd --permanent --add-port=3260/tcp 


all-cmd --reload 








iSCSI 服务 端的 配置 至 此 全 部 完成 。 











117.4 ”配置 Linux 客 


尸 新 








我 们 在 前 面 的 章节 中 已 经 配置 了 很 多 Linux 服务 , 基本 上 可 以 说 , 无 论 是 什么 服务 ， 
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17.4 配置 Linux 客户 端 








客户 端的 配置 步骤 都 要 比 服 务 端 的 配置 步骤 简单 一 些 。 在 RHEL 7 系统 中 ， 已 经 默认 安 
装 了 iSCSI 客户 端 服务 程序 initiator。 如 果 您 的 系统 没有 安装 的 话 ， 可 以 使 用 Yum 软件 
仓库 手动 安装 














[root@linuxprobe ~]# yum install iscsi-initiator-utils 

Loaded plugins: langpacks, product-id, subscription-manager 

Package iscsi-initiator-utils-6.2.0.873-21.el7.x86 64 already installed and 
latest version 

Nothing to do 























前 面 讲 到 , iSCSI 协议 是 通过 客户 端的 名 称 来 进行 验证 , 而 该 名 称 也 是 iSCSI 客户 端的 唯 
一 标识 ， 而 且 必须 与 服务 端 配 置 文件 中 访问 控制 列表 中 的 信息 一 致 ， 否 则 客户 端 在 尝试 访问 
存储 共享 设备 时 ， 系 统 会 弹出 验证 失败 的 保存 信息 。 

下 面 我 们 编辑 iSCSI 客户 端 中 的 initiator 名 称 文件 ,把 服务 端的 访问 控制 列表 名 称 填 写 进 
来 ， 然 后 重启 客户 端 iscsid 服务 程序 并 将 其 加 入 到 开机 启动 项 中 










































































[root@linuxprobe ~]# vim /etc/iscsi/initiatorname.iscsi 


InitiatorName=iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80:client 


[root@linuxprobe ~]# Systemct1 restart iscsid 
[root@linuxprobe ~]# systemctl1 enable iscsid 
ln -s '/usr/lib/systemd/system/iscsid.service' '/etc/systemd/system/multi-~user. 


target .wants/iscsid.service' 











iSCSI 客户 端 访 问 并 使 用 共享 存储 资源 的 步骤 很 简单 ， 只 需要 记 住 刘 吐 老师 的 一 个 小 口 
诀 “ 先 发 现 , 再 登录 , 最 后 挂 载 并 使 用 ”。 iscsiadm 是 用 于 管理 、 查 询 、 插 入 、 更 新 或 删除 iSCSI 
数据 库 配 置 文件 的 命令 行 工具 ， 用 户 需 要 先 使 用 这 个 工具 扫描 发 现 远 程 iSCSI 服务 端 ， 然 后 
查看 找到 的 服务 端 上 有 哪些 可 用 的 共享 存储 资源 。 其 中 ，-m discovery 参数 的 目的 是 扫描 并 发 
现 可 用 的 存储 资源 , -t st 参数 为 执行 扫描 操作 的 类 型 , -p 192.168.10.10 参数 为 iSCSI 服务 端的 
IP 地 址 : 






























































[root@linuxprobe ~]# iscsiadm -m discovery -t st -P 192.168.10.10 
192.168.10.10:3260,1 iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 





在 使 用 iscsiadm 命令 发 现 了 远程 服务 器 上 可 用 的 存储 资源 后 ， 接 下 来 准备 登录 iSCSI 服 
务 端 。 其 中 ，-m node 参数 为 将 客户 端 所 在 主机 作为 一 台 节 点 服务 器 ，-T iqn.2003-01. 
org.linux-iscsi.linuxprobe.x8664:sn.d497c356ad80 参数 为 要 使 用 的 存储 资源 ( 大 家 可 以 直接 复制 
前 面 命令 中 扫描 发 现 的 结果 ， 以免 录 入 错误 )，-p 192.168.10.10 参数 依然 为 对 方 iSCSI 服务 端 
的 IP 地 址 。 最 后 使 用 --login 或 -] 参数 进行 登录 验证 。 






































[root@linuxprobe ~]# iscsiadm -m node -T iqn.2003-01.o0org.linux-iscsi.linuxprobe. 
x8664:sn.d497c356ad80 -p 192.168.10.10 --login 

Logging in to [iface: default, target: iqn.2003-01.o0org.linux-iscsi.linuxprobe. 
x8664:sn.d497c356ad80, portal: 192.168.10.10,3260] (multiple) 

Login to [iface: default, target: iqn.2003-01.o0org.linux-iscsi.linuxprobe.x8664: 
sn.d497c356ad80, portal: 192.168.10.10,3260] successful. 





在 iSCSI 客户 端 成 功 登录 之 后 , 会 在 客户 端 主机 上 多 出 一 块 名 为 /dev/sdb 的 设备 文件 。 第 
章 曾 经 讲 过 ，udev 服务 在 命名 硬盘 名 称 时 ， 与 硬盘 搬 模 是 没有 关系 的 。 接 下 来 可 以 像 使 用 
人 文 个 设备 文件 了 。 
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[root@linuxprobe ~]# file /dev/sdb 
/dev/sdb: block special 





下 面 进入 标准 的 磁盘 操作 流程 。 考 虑 到 大 家 已 经 在 第 6 章 学 习 了 这 部 分 内 容 ， 外 加 
这 个 设备 文件 本 身 只 有 40GB 的 容量 ， 因 此 我 们 不 再 进行 分 区 ， 而 是 直接 格式 化 并 挂 载 


使 用 。 





























[root@linuxprobe ~]# mkfs.xfs /dev/sdb 
log stripe unit (524288 bytes) is too large 


log stripe unit adjusted to 32KiB 


meta-data=/dev/sdb 


isize=256 
sectsz=512 


= crc=0 
data = bsize=4096 

= sunit=128 
naming =version 2 bsize=4096 
log =internal log bsize=4096 

二 sectsz=512 
realtime =none extsz=4096 
[root@linuxprobe ~]# mkdir /iscsi 
[root@linuxprobe ~]# mount /dev/sdb /iscsi 


[root@linuxprobe ~]# df -h 


Filesystem 
/dev/mapper/rhel-root 
devtmpfs 

tmpfs 

tmpfs 

tmpfs 

/dev/sr0 

/dev/sdal 

/dev/sdb 


Size 

18G 
734M 
742M 
742M 
742M 
3.5G 
497M 

40G 


Used Avail Uses 


3.4G 15G 20% 

0 734M 0% 
176K 742M 1% 
8.8M 734M 2% 

0 742M 0% 
3356 0 100% 
119M 379M 24% 
33M 40G 1% 


(maximum is 256KiB) 


agcount=16, agsize=654720 blks 


attr=2, projid32bit=1 


blocks=10475520, imaxpct=25 


swidth=256 blks 
ascii-ci=0 ftype=0 
blocks=5120, version=2 
sunit=8 blks, 
blocks=0, rtextents=0 


Mounted on 

/ 

/dev 

/dev/shm 

/run 
/sys/fs/cgroup 
/media/cdrom 
/boot 


/iscsi 


lazy-count=1 











从 此 以 后 ， 这 个 设备 文件 就 如 同 是 客户 端 本 机 主机 上 的 硬盘 那样 工作 。 需 要 提醒 大 家 的 


























用 多 个 远程 存储 资源 时 ， 如 细 
的 文件 也 将 随 之 混乱 。 为 了 防止 发 生 这 样 的 问题 ， 
的 UUID 唯一 标识 符 进行 挂 载 ， 这 检 





正确 找到 设备 所 对 应 的 目录 。 











blkid 命令 用 于 查看 设备 的 名 称 、 文 件 系 统 及 UUID。 可 以 使 用 管道 符 ( 详 见 第 3 章 ) 











Tr 














是 ,由 于 udev 服务 是 按照 系统 识别 硬盘 设备 的 顺序 来 命名 硬盘 设备 的 ， 当 客户 端 主机 同时 使 
RR 下 一 次 识别 远程 设备 的 顺序 发 生 了 变化 ， 则 客户 端 挂 载 目录 中 


我 们 应 该 在 /etc/fstab 配置 文件 中 使 用 设备 





， 不 论 远程 设备 资源 的 识别 顺序 再 怎么 变化 ， 系 统 也 能 


行 过 滤 ， 只 显示 与 /dev/sdb 设备 相关 的 信息 : 








进 





[root@linuxprobe ~]# blkid | grep /dev/sdb 
/dev/sdb: UUID="eb9cbf2f-fce8-413a-b770-8b0f243e8ad6" TYPE="xfs" 

















刘 稻 老师 还 要 再 喝 哑 一 句 ， 由 于 /dev/sdb 是 一 块 网 络 存储 设备 ， 而 iSCSI 协议 是 基于 
TCP/IP 网 络 传输 数据 的 , 因此 必须 在 /etc/fstab 配置 文件 中 添加 上 _netdev 参数 ,表示 当 系 统 联 








网 后 














再 进行 挂 载 操作 ， 以 免 系统 开机 时 间 过 长 或 开机 失败 : 
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[root@linuxprobe ~]# vim /etc/fstab 


17.5 配置 Windows 客户 端 


/etc/fstab 
Created by anaconda on Wed May 4 19:26:23 2017 


Accessible filesystems, by reference, are maintained under '/dev/disk' 
See man pages fstab(5), findfs(8), mount (8) and/or blkid(8) for more info 





/dev/mapper/rhel-root pA xfs defaults 卫生 
UUID=812b1f7c-8b5b-43da-8c06-b9999e0fe48b /boot xfs defaults 二 沟 
/dev/mapper /rhel-swap swap swap defaults 0 0 
/dev/cdrom /media/cdrom iso9660 defaults 0 0 
UUID=eb9cbf2f-fce8-413a-b770-8b0f243e8ad6 /iscsi xfs defaults, netdev 和 9: 必 


























如 果 我 们 不 再 需要 使 用 iSCSI 共享 设备 资源 了 ， 可 以 用 iscsiadm 命令 的 -u 参数 将 其 设备 
印 载 ; 


[root@linuxprobe ~]# iscsiadm -m node -T iqn.2003-01.o0org.linux-iscsi.linuxprobe. 
x8664:sn.d497c356ad80 -u 

Logging out of session [sid: 7, target : iqn.2003-01.o0org.linux-iscsi.linuxprobe. 
x8664:sn.d497c356ad80, portal: 192.168.10.10,3260] 

Logout of [sid: 7, target: iqn.2003-01.org.linux-iscsi.linuxprobe.x8664:sn. 
d497c356ad80,portal:192.168.10.10,3260] successful. 








| 17.5 配置 Windows 客户 端 








使 用 Windows 系统 的 客户 端 也 可 以 正常 访问 iSCSI 服务 器 上 的 共享 存储 资源 ， 而 且 操 作 
原理 及 步骤 与 Linux 系统 的 客户 端 基本 相同 。 在 进行 下 面 的 实验 之 前 ， 请 先 关闭 Linux 系统 
客户 端 ， 以 免 这 两 台 客 户 端 主机 同时 使 用 iSCSI 共享 存储 资源 而 产生 潜在 问题 。 下 面 按照 表 
17-2 来 配置 iSCSI 服务 器 和 Windows 客户 端 所 用 的 卫 地 址 。 




















表 17-2 iSCSI 服务 器 和 客户 端的 操作 系统 以 及 IP 地 址 
主机 名 称 操作 系统 IP 地 址 
iSCSI 服务 器 RHEL7 192.168.10.10 
Windows 系统 客户 端 Windows 7 192.168.10.30 











第 1 步 : 运行 iSCSI 发 起 程序 。 在 Windows 7 操作 系统 中 已 经 默认 安装 了 iSCSI 客户 端 
程序 ， 我 们 只 需 在 控制 面板 中 找到 “系统 和 安全 ”标签 ,然后 单 击 “ 管 理工 具 ”( 见 图 17-3 )， 
进入 到 “管理 工具 ”页 面 后 即 可 看 到 “iSCSI 发 起 程序 ”图 标 。 双击 该 图 标 ,在 第 一 次 运行 iSCSI 
发 起 程序 时 ， 系 统 会 提示 “Microsoft iSCSI 服务 端 未 运行 "， 单 击 “ 是 ”按钮 即 可 自动 启动 并 
运行 iSCSI 发 起 程序 ， 如 图 17-4 所 示 。 

第 2 步 : 扫描 发 现 iSCSI 服务 端 上 可 用 的 存储 资源 。 不 论 是 Windows 系统 还 是 Linux 系 
统 , 要 想 使 用 iSCSI 共享 存储 资源 都 必须 先进 行 扫描 发 现 操作 。 运行 iSCSI 发 起 程序 后 在 “ 目 
标 ” 选 项 卡 的 “目标 ”文本 框 中 写 和 人 iSCSI 服务 端的 卫 地 址 ， 然 后 单 击 “快速 连接 ”按钮 ， 
如 图 17-5 所 示 。 

在 弹出 的 “快速 连接 ”提示 框 中 可 看 到 共享 的 硬盘 存储 资源 ， 单 击 “ 完 成 ”按钮 即 可 ， 
如 图 17-6 所 示 。 









































Dr 





325 


使 用 iSCSI 服务 部 署 网 络 存储 





加 口 "|® ， i an 全， a ES np 





mh 操作 中 心 

系统 和 安全 检查 计算 机 的 状态 并 解决 问题 | 蔬 更 改 用 户 帐户 控制 设置 | 常见 计算 机 问题 疑难 解答 
将 计算 机 还 原 到 一 个 较 早 的 时 间 点 

网 络 和 Internet 
Windows 防火 墙 
检查 防火 培 状 态 | 允许 程序 通过 Windows 防火 培 


系统 
查看 RAM 的 大 小 和 处 理 器 速度 | 检查 Windows 体验 指数 | 哪 允许 远 程 访问 
查看 该 计算 机 的 名 称 | 嘱 设备 管理 器 


Windows Update 
启用 或 禁用 自动 更 新 | 检查 更 新 | 查看 已 安装 的 更 新 


电源 选项 

喀 想 计算 机 时 需要 密码 | 更 改 电 源 按 钮 的 功能 | 更 改 计算 机 胜 瞩 时 间 
备份 您 的 计算 机 | 从 备份 还 原文 件 

Windows Anytime Upgrade 

获取 新 版 本 的 Windows 7 的 更 多 功能 
匡 Ee 

等 放 檬 盘 空 间 | 对 硬盘 进行 碎片 天 理 | 嘱 创建 并 格式 化 硬盘 分 区 | 甘 坦 者 事件 日 志 
甸 计 划 人 区 





图 17-3 在 控制 面板 中 单 击 “ 管 理工 具 ” 
































i 吾 | 回 | 多 
回国 名 ， 过 和 0 安全， 管理 了 只 EE P| 
组 织 ” 加] 打开 = ~ 团 @ 

RE 名 称 修改 日 其 类 型 大 小 
胞 下 载 往 iSCSI 发 起 程序 2009/7/14 12:54 ”快捷 方式 2KB 
图 训 面 i Windows PowerShell Modules 2009/7/14 13:32 快捷 方式 3 KB 
是 最 后 访问 的 位 置 国 Windows 内 存 诊 断 2009/7/14 12:53 快捷 方式 2 KB 
沪 服务 2009/7/14 12:54 快捷 方式 2 KB 
司库 只 ‘| Microsoft iSCSI 
国 视 页 宣 
2 国有 
国 加 上 国 Microsoft iSCSI 服务 尚未 运行 。 若 要 使 iSCSI 正常 工作 ， 必 须 启动 该 服务 。 车 要 
国 X 档 [EI 立即 启动 该 服务 并 让 该 腿 务 在 每 次 计算 机 重新 启动 时 三 动 启动 ， 请 羊 去 “是 ” 按 
动 言 乐 司 | 钮 . 
图 
2 加 
合 网 阁 
iSCSI 发 起 程序 修改 日 期 : 2009/7/14 12:54 创建 日 期 : 2009/7/14 12:54 


快捷 方式 六 小 : 1.24 KB 





图 17-4 双击 “iSCSI 发 起 程序 ”图 标 
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17.5 配置 Windows 客户 端 


























isCSsI 发 起 程序 屋 性 | 
目标 | 发 现 _ | 收藏 的 目标 | 卷 和 设备 | RADIUS | 配置 
快速 连接 一 RE 
要 关 开 时 到 并 全 四 时 家 详 拉 登录 到 月 标 ， 请 尘 入 该 目标 的 地 址 或 ns 名 
已 发 现 的 目标 @) 
刷新 @&) 
名 称 状态 











考 要 休 全 过 接 ， 请 和 权 目 标 ， 然 有 击 


”连接 全 
苦 训 符 凶 条 个 目标 的 连接 ， 请 选择 该 目标 ， 然 后 间 了 加 
允 量 本 图 此， 包括 会话 9 可 置 ， 请 选择 该 目标 并 单 击 珊 让 加 
对 入村 村 与 目标 关联 的 设备 ， 请 选择 该 目标 ， 然 后 单 击 设备 名 
x 0 


有 关 基 本 iSCSI 连接 和 目标 的 详细 信息 

















应 用 四 
图 17-5 填写 iSCSI 服务 端的 IP 地 址 


iSCSI 发 起 程序 层 性 











快速 连接 





他 各 人 草 a th 5 用 连接 目标 如 下 所 列 。 如 果 有 多 个 目 


站 ， 每 次 重新 自动 该 计算 机 时 都 将 
已 发 现 的 目标 CT) 
名 称 


iqn. 2003-01. org lim-iscsi, localhost. x8. 














进度 报告 
无 法 登录 到 目标 。 




















确定 取消 应 用 多 
图 17-6 在 “快速 连接 ”提示 可 














匡 中 看 到 的 共享 的 硬盘 存储 资源 
回 到 “目标 ”选项 卡 页 面 , 可 以 看 到 共享 存储 资源 的 名 称 已 经 出 现 , 如 图 17-7 所 示 。 
第 3 步 : 准备 连接 iSCSI 服务 端的 共享 存储 资源 。 由 于 在 iSCSI 服务 端 程序 上 设置 了 ACL， 
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使 用 iSCSI 服务 部 署 网 络 存储 





使 得 只 有 客户 端 名 称 与 ACL 策略 中 的 名 称 保持 一 致 时 才能 使 用 远程 存储 资源 ， 因 此 需要 在 “配置 ” 
选项 卡 中 单 击 “ 更 改 ” 按钮 , 把 iSCSI 发 起 程序 的 名 称 修改 为 服务 端 ACL 所 定义 的 名 称 , 如 图 17-8 
所 示 。 


“iscsI 发 起 程序 层 性 莉 强 站 











目标 ”| 发 现 | 收藏 的 目标 | 卷 和 设备 | RADIVS | 配置 | 
快速 连接 
才 并 要 三 录 3 月 标 ， 请 诗 入 该 目标 的 开 地 址 或 nm 名 














目标 (7): 快速 广 接 外) 
已 发 现 的 目标 (6) 

刷新 (R) 
名 称 状态 
iqn. 2003-01. org. limux-iscsi. localhost. x8664:. ..， 不 活动 








着 要 信用 高 织 珊 进行 和 连接， 请 选择 目标 ,然后 单 击 可 mm 
狂放 1 目标 的 连接 ， 请 选择 该 目标 ， 然 后 单 断 开 连 接 0) 
对 质量 标 属性 ， 包括 会 话 的 配置 ， 请 选择 该 目标 并 单 击 属性 GD) 
对 于 村 二 与 日 标 关联 的 设备 ， 请 选择 该 目标 ,然后 单 击 设备 0)... 





有 关 基 本 iSCSI 诗 接 和 目标 的 详细 信息 














图 17.7 在 “目标 ”选项 卡 中 看 到 了 共享 存储 资源 


isCSI 发 起 程序 屋 性 x 





























[ 司 标 | 发现 收藏 的 目标 | 疮 和 设备 | RADIUS | 配置 | 








此 处 的 本 置 设置 是 全 局 设置 ， 会 影响 以 后 使 用 该 发 起 程序 进行 的 任何 连接 。 
现 有 i 以 继续 工作 ， 但 新 启动 系统 ， 或 发 起 程序 试图 重新 
信 ei 岂 炙 结 下 从 六 假如 果 重 新 自动 系 帝 ， 或 发 起 程序 试图 重新 连 


连接 到 目标 时 ， 高 级 连接 功能 允许 对 特定 连接 进行 特别 控制 * 


发 起 程序 名 称 : 四 _ _ 
iqn. 2003-01. org linux-iscsi. localhost.x8664: sn. 97835da337d7: client 


若 要 修改 发 起 程序 名 称 ， 请 单 击 “ 更 改 ”。 Er 

tr 
过 起 程序 的 Isee 联 j 模 式 地 址 ， 请 单 二 
区 标 和 设备 的 报 上， 请 























图 17-8 修改 iSCSI 发 起 程序 的 名 称 


328 


17.5 配置 Windows 客户 端 


在 确认 客户 端 发 起 程序 的 名 称 修改 正确 后 即 可 返回 到 “目标 ”选项 卡 页 面 中 ， 然 后 单 击 





“连接 ”按钮 进行 连接 请 求 ， 成 功 连接 到 远程 共享 存储 资源 的 页 面 如 图 17-9 所 示 。 


第 4 步 : 访问 iSCSI 远 


“isCSI 发 起 程序 屋 性 


LX 

















目标 ”| 发 现 | 收藏 的 目标 | 卷 和 设备 | RADIUS | 配置 








快速 连接 
要 次 阳 时 村 寺 全 困苦 过 这 接合 录 到 目标， 请 键入 该 目标 的 IT 地 址 或 DNS 名 


下 ， 





目标 (7): 快速 连接 色 ) 
已 发 现 的 目标 (6) 

_ 刷新 (R) 
| 外 状态 

iqn. 2003-01. org. linux-iscsi. localhost. x8664:. . ， 已 连接 





着 要 信 用 襄 4W 行 这 说 ， 请 寺 反 目标, 然后 单 二 

着 要 完全 断 开 某 个 目标 的 连接 ， 请 选择 该 目标 ,然后 单 

芝 雪 人 请 选择 该 断 开 连接 @) | 

对 于 昌 二 居住， 包括 会 活 的 E 过 ,请 计 反 该 旧 标 并 单 击 。。 [局 甘 ee 

对 要 与 晶 标 关联 的 设备 ， 请 选择 议 自 标 , 然后 单 击 。。 [ 设 07 
人 





有 关 基 本 iSCSI 诈 接 和 目标 的 详细 信息 





应 用 














图 17-9 成功 连接 到 远程 共享 存储 资源 








机 管理 程序 ， 如 图 17-10 所 示 。 


“ 电 计算 机 管理 


程 共享 存储 资源 。 右 键 单 击 桌面 上 的 “计算 机 ”图 标 ， 打 开 计算 





文件 (月 ”操作 (A) ”查看 (V) ”帮助 (H) 
名 只 | 访 国 上 罩 国 四 X 守 区 轨 攻 








[ 卷 ” [布局 | 关于 | 文件 系统 | 状态 容量 。 “| 可 用 人 
bd 简单 基本 RAW 正在 格式 化 39.96 GB 39.96 
名 (C) 简单 基本 NTFS ”状态 良好 (系统 , 启动 页面 文件 , 活动, 故障 转 储 , 主 分 区 ) 60.00 GB 48.54 




















基本 GD 
60.00 GB 60.00 GB NTFS 
联机 状态 良好 (系统 , 启动, 页 面 文件 , 活动 , 故障 转 储 , 主 分 区 ) 


mm 











加 cp-RoM0 
DVD (Dj 
国 未 分 可 图 主 分 区 




















图 17-10 计算 机 管理 程序 的 界面 
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使 用 iSCSI 服务 部 署 网 络 存储 


开始 对 磁盘 进行 初始 化 操作 ， 如 图 17-11 所 示 。Windows 系统 用 来 初始 化 磁盘 设备 的 步 
骤 十 分 简单 ,各 位 读者 都 可 以 玩 得 转 Linux 系统 ,相信 Windows 系统 就 更 不 在 话 下 了 -Windows 
系统 的 初始 化 过 程 步骤 如 图 17-12 至 图 17-18 所 示 。 





r 





一 计算 机 管理 
文件 (有 ”操作 (A) ”前 看 (V) ”帮助 (H) 
扣 划 | 证 恒 | 日 装 | 四 守节 

















一 一 一 一 
盟 计算 机 管理 (本 地 ) || 卷 | 布局 | 类 型 | 文件 系统 | 状态 容量 可 用 空 | 操作 
4 衣 系统 工具 | 各 (CG) 简单 基本 NTFS ”状态 良好 (系统 , 启动 ,页面 文件 , 活动 , 故障 转 信 , 主 分 区 ) 60.00 GB ”48.54 | 辜 盘 管理 
@ 人 计划 答 序 更 多 操作 
国 事件 查看 器 
园 共享 文件 夫 
几 性 能 
壳 设备 管理 器 
,多 存 信 初始 化 磋 盘 
错 磁盘 管理 磁盘 必须 经 过 初始 化 逻辑 磁盘 管理 器 才能 访问 。 


十 服务 和 应 用 程序 选择 磁盘 (5); 











为 所 选 磁盘 使 用 以 下 磁盘 分 区 形式 : 


回 HER ( 主 启动 记录 ) 0) 
了 GPT (GUID 分 区 表 ) (6) 























器 磁盘 1 Es 
未 知 | 
39.97 GB 139.97 GB 
没有 初始 化 | 未 分 可 


二 cD-ROM0 
DVD [Dj 
图 未 分 瑟 图 主 分 区 























图 17-11 ”对 磁盘 设备 进行 初始 化 操作 


“新 娃 简 单 卷 向 导 [一 > 一 


欢迎 使 用 新 建 简单 卷 向 导 





此 向 导 帮 助 您 在 磁盘 上 创建 一 个 简单 卷 。 
简单 卷 只 能 在 单一 磁盘 上 。 
单 击 “ 下 一 步 ” 继续 。 











上 一 步 (6) | 人 下 一 步 0D. > 取消 
图 17-12 开始 使 用 “新 建 简单 卷 向 导 ” 
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“新 建 简单 卷 向 导 


17.5 配置 Windows 客户 端 


[i 





a 


定 卷 大 省 
选择 介 


指 : 、 
最 太 和 最 小 值 的 卷 大 小 。 


最 大 磁盘 空间 量 WB) : 
最 小 磁盘 空间 量 WB) : 
简单 卷 大 小 WE)] (8): 


40924 











图 17-13 ”对 磁盘 设备 进行 分 区 操作 


“新 建 简单 卷 向 导 


《上 一 步 @) | 下 一 步 oD > 取消 


| 





分 醒 驱 动 器 号 和 路 径 
为 了 便于 访问 ， 可 以 给 磁盘 分 区 分 醒 驱 动 器 号 或 驱动 器 路 径 。 





浏览 (E) 


回 分 配 以 下 驱动 器 号 忆 ) : 
各 装 入 以 下 空白 TFS 文件 夹 中 册 ): 


名 不 分 配 驱 动 器 号 或 驱动 器 路 径 0) 














图 17-14 设置 系统 中 显示 的 盘 符 





“新 建 简单 卷 身 导 


| 





格式 化 分 区 
要 在 这 个 磁盘 分 区 上 傅 存 数据 ， 您 必须 先 将 其 格式 化 。 


选择 是 否 要 格式 化 这 个 卷 ; 如 果 要 格式 化 ， 要 使 用 什么 设置 。 








合 不 要 格式 化 这 个 卷 四 ) 
加 按 下 列 设置 格式 化 这 个 卷 @) : 
文件 系统 外 ): 
分 配音 元 大 小 他 ) : 
卷 标 中) : 运程 存储 资源 | 
尺 执 行 快速 格式 化 人 E) 
启用 文件 和 文件 夹 压缩 三 ) 

















KE 上 一步 @)] 下 一 步 四 | 


取消 | 











图 17-15 设置 磁盘 设备 的 格式 以 及 卷 标 
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使 用 iSCSI 服务 部 署 网 络 存储 


“新 娃 简 单 卷 向 导 








正在 完成 新 建 简单 卷 向 导 


您 已 经 成 功 完成 新 建 简单 卷 向 导 。 

















若 要 关闭 此 向 导 ， 请 单 击 “ 完 成 ”。 





[人 上 一 步 @@)‖ 庄 成 | [ 取消 














图 17-16 “检查 磁盘 初始 化 信息 是 否 正 确 














二 计算 机 管理 (Ee x 
文件 (“操作 (A) ”过 看 V) 帮助 (H) 
忽 外 | 方 辐 日 国 | 日 民 
鼎 计算 机 管理 (本 地 ) |[ 卷 布局 | 类 型 | 文件 系统 | 状态 | 宕 县 可 用 衬 
4 内 系 六 工具 | 各 (C) 简单 基本 NTFS ”状态 良好 (系统 , 启动 , 页 面 文件 , 活动 , 故障 转 储 , 主 分 区 ) 60.00 GB 48.54 | 放生 晤 
更 多 操作 


器 上 











"由 磁盘 1 


未 知 
39.97 GB 
没有 初始 化 


电 cp-RoM0 
DVD (Dy) 
国 未 分 本 图 主 分 区 


|@ 
|60.00 GB NTFS 
| 状态 良好 (系统 , 启动 , 页 面 文件 , 活动 故障 转 做 主 分 区 ) 
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图 17-17 “等待 磁盘 设备 初始 化 过 程 结 
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图 17-18 ”磁盘 初始 化 完毕 后 弹出 设备 图 标 
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. 在 使 用 Windows 系统 来 访问 iSCSI 共享 存储 资源 时 ， 它 有 两 个 步骤 与 Linux 系统 一 样 。 请 


简 述 iSCSI 存储 技术 在 生产 环境 中 的 作用 。 
答 : iSCSI 存储 技术 通过 把 硬件 存储 设备 与 TCP/IP 网 络 协议 相互 结合 , 使 得 用 户 可 以 通过 
互联 网 方面 地 访问 远程 机 房 提供 的 共享 存储 资源 。 























.在 Linux 系统 中 ，iSCSI 服务 端 和 iSCSI 客户 端 所 使 用 的 服务 程序 分 别 叫 什么 ? 





答 : iSCSI 服务 端 程序 为 targetd，iSCSI 客户 端 程序 为 initiator。 





.在 使 用 targetcli 命令 配置 iSCSI 服务 端 配置 文件 时 ，acls 与 portals 参数 目录 中 分 别 存放 什 


么 内 容 ? 
答 : acls 参数 目录 用 于 存放 能 够 访问 iSCSI 服务 端 共享 存储 资源 的 客户 端 名 称 ，portals 
参数 目录 用 于 定义 由 服务 器 的 哪个 卫 地 址 对 外 提供 共享 存储 资源 服务 。 


.iSCSI 协议 占用 了 服务 器 哪个 协议 和 端口 号 ? 


答 : iSCSI 协议 占用 了 服务 器 TCP 协议 的 3260 端口 号 。 





. 用 户 在 填写 fstab 设备 挂 载 配置 文件 时 , 一 般 会 把 远程 存储 资源 的 UUID( 而 非 设备 的 名 称 ) 

















填写 到 配置 文件 中 。 这 是 为 什么 ? 

答 : 在 Linux 系统 中 ,设备 名 称 是 由 udev 服务 进行 管理 的 ， 而 udev 服务 的 设备 命名 规则 
是 由 设备 类 型 及 系统 识别 顺序 等 信息 共同 组 成 的 。 考 虑 到 网 络 存 储 设 备 具 有 识别 顺序 不 稳 
定 的 特点 ,所 以 为 了 避免 识别 顺序 混乱 造成 的 挂 载 错 误 问 题 , 故 使 用 UUID 进行 挂 载 操 作 。 





















































说 明 是 哪 两 个 步骤 。 
答 : 扫描 并 发 现 服务 端 上 可 用 的 iSCSI 共享 存储 资源 ; 验证 登录 。 
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第 18 章 | 


使 用 MariaDB 数据 库 管 理 系 统 


本 章 讲解 了 如 下 内 容 : 


数据 库 管 理 系 统 ; 
初始 化 MariaDB 服务 ; 
管理 账户 以 及 授权 ; 
创建 数据 库 与 表单 ; 
管理 表单 及 数据 ; 
数据 库 的 备份 与 恢复 。 





VV vv vyvyYv 


MySQL 数据 库 项 目 自从 被 Oracle 公司 收购 之 后 ， 从 开源 软件 转变 成 为 了 “ 闭 源 ” 软 件 ， 这 导 
致 开行 业 中 的 很 多 企业 以 及 厂商 纷纷 选择 使 用 了 数据 库 软 件 的 后 起 之 秀一 一 MariaDB 数据 库 管 理 
系统 。MariaDB 数据 库 管 理 系 统 也 因此 快速 占据 了 市 场 。 

本 章 将 介绍 数据 库 以 及 数据 库 管理 系统 的 理论 知识 , 然后 再 介绍 MariaDB 数据 库 管理 系 
统 的 内 容 ， 最 后 将 通过 动手 实验 的 方式 ， 帮 助 各 位 读者 掌握 MariaDB 数据 库 管 理 系 统 的 一 些 
常规 操作 。 比 如 ， 上 账户 的 创建 与 管理 、 账 户 权 限 的 授权 ; 新 建 数据 库 、 新 建 数据 库 表 单 ; 对 
数据 库 执行 新 建 、 删 除 、 修 改 和 查询 等 操作 。 本 章 最 后 还 介绍 了 数据 库 的 备份 与 恢复 方法 。 

在 学 完 本 章 内 容 之 后 ， 读 者 不 但 可 以 胜任 生产 环境 中 的 数据 库 管理 工作 ， 还 可 以 掌握 
RHCE 考试 中 数据 库 管 理 主题 相关 的 内 容 。 

































































| 18.1 数据 库 管理 系统 























数据 库 是 指 按照 某 些 特定 结构 来 存储 数据 资料 的 数据 仓库 。 在 当今 这 个 大 数据 技术 迅速 
岂 起 的 年 代 ， 互 联网 上 每 天 都 会 生成 海量 的 数据 信息 ， 数 据 库 技术 也 从 最 初 只 能 存储 简单 的 
表格 数据 的 单一 集中 存储 模式 ， 发 展 到 了 现 如 今 存储 海量 数据 的 大 型 分 布 式 模式 。 在 信息 化 
社会 中 ， 能 够 充分 有 效 地 管理 和 利用 各 种 数据 ， 挖 掘 其 中 的 价值 ， 是 进行 科学 研究 与 决策 管 
理 的 重要 前 提 。 同 时 ,数据 库 技 术 也 是 管理 信息 系统 、 办 公 自 动 化 系统 、 决 策 支 持 系 统 等 各 
类 信息 系统 的 核心 组 成 部 分 ， 是 进行 科学 研究 和 决策 管理 的 重要 技术 手段 。 
数据 库 管 理 系统 是 一 种 能 够 对 数据 库 中 存放 的 数据 进行 建立 、 修 改 、 删 除 、 查 找 、 维 护 
等 操作 的 软件 程序 。 它 通过 把 计算 机 中 具体 的 物理 数据 转换 成 适合 用 户 理解 的 抽象 逻辑 数据 ， 
有 效 地 降低 数据 库 管 理 的 技术 门槛 ， 因 此 即便 是 从 事 Linux 运 维 工作 的 工程 师 也 可 以 对 数据 
库 进行 基本 的 管理 操作 。 但 是 , 刘 选 老师 有 必要 提醒 各 位 读者 ， 本 书 的 技术 主线 依然 是 Linux 
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系统 的 运 维 ， 而 数据 库 管 理 系统 只 不 过 是 在 此 主线 上 的 一 个 内 容 不 断 横向 扩展 、 纵 向 加 深 的 
分 支 ， 不 能 指望 在 一 两 天 之 内 就 可 以 精通 数据 库 管 理 技术 。 如 果 有 读者 在 学 完 本 章 内 容 之 后 
对 数据 库 管 理 技 术 产 生 了 浓厚 兴趣 ， 并 希望 谋 得 一 份 相关 的 工作 ， 那 么 就 需要 额外 为 自己 定 
制 一 个 学 习 规 划 了 。 

既然 是 讲解 数据 库 管 理 技 术 ， 就 肯定 绕 不 开 MySQL。MySQL 是 一 款 市 场 占 有 率 非 常 高 
的 数据 库 管 理 系统 ， 技 术 成 熟 、 配 置 步骤 相对 简单 ， 而 且 具 有 良好 的 可 扩展 性 。 但 是 ， 由 于 
Oracle 公司 在 2009 年 收购 了 MySQL 的 母 公司 Sun, 因 此 MySQL 数据 库 项 目 也 随 之 纳入 Oracle 
府 下 ， 逐 步 演变 为 保持 着 开源 软件 的 身份 ， 但 又 申请 了 多 项 商业 专利 的 软件 系统 。 开 源 软 件 
是 全 球 黑 客 、 极 客 、 程 序 员 等 技术 高 手 在 开源 社区 的 大 旗下 的 公共 智慧 结晶 ， 自 己 的 劳动 成 
果 被 其 他 公司 商业 化 自然 也 伤 了 一 大 批 开源 工作 者 的 心 ， 因 此 由 MySQL 项 目 创始 者 重新 研 
发 了 一 款 名 为 MariaDB 的 全 新 数据 库 管理 系统 , 该 软件 当前 由 开源 社区 进行 维护 , 是 MySQL 
的 分 文 产品 ， 而 且 儿 乎 完全 兼容 MySQL。 

与 此 同时 ， 由 于 各 大 公司 之 间 存 在 着 竞争 关系 或 利益 关系 ， 外 加 MySQL 在 被 收购 之 后 
逐渐 由 开源 向 闭 源 软 转变 ， 很 多 公司 抛弃 了 MySQL。 当 前 , 谷歌 、 维 基 百 科 等 技术 领域 决定 
将 MySQL 数据 库 上 的 业务 转移 道 MariaDB 数据 库 , Linux 开源 系统 的 领袖 红 帽 公司 也 决定 在 
RHEL 7、CentOS 7 以 及 最 新 的 Fedora 系统 中 ， 将 MariaDB 作为 默认 的 数据 库 管 理 系统 ， 而 
且 红 帽 公司 更 是 首次 将 数据 库 知 识 加 入 到 了 RHCE 认证 的 考试 内 容 中 。 随 后 ， 还 有 数 十 个 常 
见 的 Linux 系统 (如 openSUSE 、Slackware 等 ) 也 作出 了 同样 的 表态 。 

但 是 ， 坦 白 来 讲 ， 虽 然 IT 行业 巨头 都 决定 采用 MariaDB 数据 库 管 系统 ， 这 并 不 意味 着 
MariaDB 较 之 于 MySQL 有 明显 的 优势 。 刘 六 老师 用 了 近 两 周 的 时 间 测 试 了 了 MariaDB 与 
MySQL 的 区 别 ， 并 进行 了 多 项 性 能 测试 ， 并 没有 发 现 媒体 所 说 的 那 种 明显 的 优势 。 可 以 说 ， 
MariaDB 和 MySQL 在 性 能 上 基本 保持 一 致 ， 两 者 的 操作 命令 也 十 分 相似 。 从 务实 的 角度 来 
讲 ， 在 掌握 了 MariaDB 数据 库 的 命令 和 基本 操作 之 后 ， 在 今后 的 工作 中 即使 遇 到 MySQL 数 
据 库 ， 也 可 以 快速 上 手 。 所 以 ， 这 两 个 数据 库 系统 无 论 选择 哪 一 个 来 学 习 都 悉 听 君 便 ， 而 本 
书 之 所 以 选择 以 MariaDB 数据 库 进行 讲解 , 主要 是 从 RHCE 认证 考试 和 技术 垄断 的 角度 作 的 
决定 。 
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相 较 于 MySQL, MariaDB 数据 库 管理 系统 有 了 很 多 新 鲜 的 扩展 特性 , 例如 对 微 秒 级 别 的 
支持 线程 池 、 子 查询 优化 、 进 程 报告 等 ,在 配置 妥当 Yum 软件 仓库 后 , 即 可 安装 部 署 MariaDB 
数据 库 主 程序 及 服务 端 程序 了 。 


。 

















在 安装 完毕 后 ， 记 得 启动 服务 程序 ， 并 将 其 加 入 到 开机 启动 项 中 。 





[root@linuxprobe ~]# yum install mariadb mariadb-server 
Loaded plugins: langpacks, product-id, subscription-manager 
pe 省 略 部 分 输出 信息 

Installing: 

mariadb x86 64 1:5.5.35-3.el7 rhel 8.9 M 

mariadb-server x86 64 1:5.5.35-3.el7 rhel 11 M 
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Installing for dependencies: 

perl-Compress-Raw-Bzip2 x86 64 2.061-3.el7 rhel 32 k 
perl-Compress-Raw-2Z1ib x86 64 1:2.061-4.el7 rhel 57 k 
perl-DBD-MySQL x86 64 4.023-5.el7 rhel 140 k 

perl-DBI x86 64 1.627-4.e17 rhel 802 k 
perl-Data-Dumper x86 64 2.145-3.el7 rhel 47 k 
perl-IO-Compress noarch 2.061-2.el1l7 rhel 260 k 
perl-Net-Daemon noarch 0.48-5.el1l7 rhel 51 k 
perl-PlRPC noarch 0.2020-14.el7 rhel 36 k 


Transaction Summary 








Install 2 Packages (+8 Dependent packages) 
Total download size: 21 M 

Installed size: 107 M 

Is this ok [y/d/N]: y 

Downloading packages: 

Total 82 MB/s | 21 MB 00:00 

Running transaction check 

Running transaction test 

Transaction test succeeded 

Running transaction 

de 省 略 部 分 输出 信息 

Installed: 

mariadb.x86 64 1:5.5.35-3.el7 mariadb-server.x86 64 1:5.5.35-3.el7 
Dependency Installed: 
perl-Compress-Raw-Bzip2.x86 64 0:2.061-3.el7 
perl-Compress-Raw-Zl1lib.x86 64 1:2.061-4.el7 
perl-DBD-MySQL.x86 64 0:4.023-5.el7 
perl-DBI.x86 64 0:1.627-4.el17 
perl-Data-Dumper.x86 64 0:2.145-3.el7 
perl-IO-Compress.noarch 0:2.061-2.el17 





perl-Net-Daemon.noarch 0:0.48-5.el17 

perl-PlRPC.noarch 0:0.2020-14.el17 

Complete! 

[root@linuxprobe ~]# Systemct1 start mariadb 

[root@linuxprobe ~]# systemctl1 enable mariadb 

ln -s '/usr/lib/systemd/system/mariadb.service' '/etc/systemd/system/multi-user. 
target .wants/mariadb.service' 











在 确认 MariaDB 数据 库 软 件 程序 安装 完毕 并 成 功 启动 后 请 不 要 立即 使 用 。 为 了 确保 数据 
库 的 安全 性 和 正常 运转 ， 需 要 先 对 数据 库 程 序 进 行 初 始 化 操作 。 这 个 初始 化 操作 涉及 下 面 5 
个 步骤 。 
> 设置 root 管理 员 在 数据 库 中 的 密码 值 ( 注意 ,该 密码 并 非 root 管理 员 在 系统 中 的 密码 ， 
这 里 的 密码 值 默认 应 该 为 空 ， 可 直接 按 回 车 键 )。 
> 设置 root 管理 员 在 数据 库 中 的 专 有 密码 。 
> 随后 删除 匿名 账户 , 并 使 用 root 管理 员 从 远程 登录 数据 库 ， 以 确保 数据 库 上 运行 的 业 
务 的 安全 性 。 
> 删除 默认 的 测试 数据 库 ， 取 消 测试 数据 库 的 一 系列 访问 权限 。 
> 刷新 授权 列表 ， 让 初始 化 的 设 定 立 即 生效 。 
对 于 上 述 数 据 库 初始 化 的 操作 步骤 ， 刘 六 老师 已 经 在 下 面 的 输出 信息 旁边 进行 了 简单 注 
释 ， 确 保 各 位 读者 更 直观 地 了 解 要 输入 的 内 容 : 
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[root@linuxprobe ~]# mysql secure installation 
/usr/bin/mysql secure installation: line 379: find mysql client: command not found 
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB 
SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY! 
In order to log into MariaDB to secure it, we'll need the current 
password for the root user. If you've just installed MariaDB, and 
you haven't set the root password yet, the password will be blank, 
so you should just press enter here. 
Enter current password for root (enter for none) : 当前 数据 库 密码 为 空 ， 直 接 按 回 车 键 
OK, successfully used password, moving on... 
Setting the root password ensures that nobody can log into the MariaDB 
root user without the proper authorisation. 
Set root password? [Y/n] y 
New password: 输入 要 为 root 管理 员 设 置 的 数据 库 密码 
Re-enter new password: 再 次 输入 密码 
Password updated successfully! 
Reloading privilege tables.. 
Success! 
By default, a MariaDB installation has an anonymous user, allowing anyone 
to log into MariaDB without having to have a user account created for 
them. This is intended only for testing, and to make the installation 
go a bit smoother. You should remove them before moving into a 
production environment. 
Remove anonymous users? [Y/n] y ( 删除 匿名 账户 ) 
Success! 
Normally, root should only be allowed to connect from 'localhost'. This 
ensures that someone cannot guess at the root password from the network. 
Disallow root login remotely? [Y/n] y ( 禁止 root 管理 员 从 远程 登录 ) 
Success! 
By default, MariaDB comes with a database named 'test' that anyone can 
access. This is also intended only for testing, and should be removed 
before moving into a production environment. 
Remove test database and access to it? [Y/n] y (删除 test 数据 库 并 取消 对 它 的 访问 权限 ) 
— Dropping test database... 
Success! 
— Removing privileges on test database... 
Success! 
Reloading the privilege tables will ensure that all changes made so far 
will take effect immediately. 
Reload privilege tables now? [Y/n] y ( 刷新 授权 表 ， 让 初始 化 后 的 设 定 立 即 生效 ) 
Success! 
Cleaning up... 
All done! If you've completed all of the above steps, your MariaDB 
installation should now be secure. 
Thanks for using MariaDB! 





如 


日 





人 


需要 让 root 管理 员 远 程 访问 数据 库 ， 可 在 上 面 的 初始 化 操作 中 设置 策略 ， 以 允许 root 管 





在 很 多 生产 环境 中 都 需要 使 用 站 库 分 离 的 技术 〈 即 网 站 和 数据 库 不 在 同一 个 服务 顺 上 )， 





1 














星 员 从 远程 访问 。 然 后 还 需要 设置 防火 墙 ， 使 其 放行 对 数据 库 服务 程 序 的 访问 请 求 ， 数 据 库 
服务 程序 默认 会 占用 3306 端口 ， 在 防火 墙 策略 中 服务 名 称 统一 叫 作 mysql: 























[root@linuxprobe ~]# firewall-cmd --permanent --add-service=mysql 
success 
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[root@linuxprobe ~]# firewall-cmd --reload 
success 











一 切 准 备 就 绪 。 现 在 我 们 将 首次 登录 MariaDB 数据 库 。 其 中 ，-u 参数 用 来 指定 以 root 








管理 员 的 身份 登录 ， 而 -p 参数 用 来 验证 该 用 户 在 数据 库 中 的 密码 值 。 








[root@linuxprobe ~]# mysql -u root -p 

Enter password: 此 处 输入 root 管理 员 在 数据 库 中 的 密码 

Welcome to the MariaDB monitor. Commands end with ; or \g. 

Your MariaDB connection id is 5 

Server version: 5.5.35-MariaDB MariaDB Server 

Copyright (c) 2000, 2013, Oracle, Monty Program Ab and others. 

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 
MariaDB [ (none)]> 




















在 登录 MariaDB 数据 库 后 执行 数据 库 命 令 时 ， 都 需要 在 命令 后 面 用 分 号 (; ) 结尾 , 这 也 











是 与 Linux 命令 最 显著 的 区 别 。 大 家 需要 慢 慢 习惯 数据 库 命令 的 这 种 设 定 。 下 面 执行 如 下 命 


令 查 看 数据 库 管 理 系 统 中 当前 都 有 哪些 数据 库 : 








MariaDB [ (none)]> SHOW databases; 


| information schema | 
| mysql 
| performance schema | 


3 rows in set (0.01 sec) 





小 试 牛刀 过 后 ， 接 下 来 使 用 数据 库 命令 将 root 管理 员 在 数据 库 管理 系统 中 的 密码 值 修改 




















为 linuxprobe。 这 样 退 出 后 再 尝试 登录 ， 如 果 还 坚持 输入 原先 的 密码 ， 则 将 提示 访问 失败 。 





MariaDB [ (none)]> SET password = PASSWORD('linuxprobe'); 

Query OK, 0 rows affected (0.00 sec) 

MariaDB [ (none)]> exit 

Bye 

[root@linuxprobe ~]# mysql -u root -p 

Enter password: 此 处 输入 root 管理 员 在 数据 库 中 的 新 密码 

ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: YES) 
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在 生产 环境 中 总 不 能 一 直 “ 死 哺 ”root 管理 员 。 为 了 保障 数据 库 系 统 的 安全 性 ， 以 及 让 








其 他 用 户 协同 管理 数据 库 ， 我 们 可 以 在 MariaDB 数据 库 管 理 系统 中 为 他 们 创建 多 个 专用 的 数 
据 库 管 理 账户 ， 然 后 再 分 配合 理 的 权限 ， 以 满足 他 们 的 工作 需求 。 为 此 ， 可 使 用 root 管理 员 
登录 数据 库 管 理 系统 ,然后 按照 “CREATE USER 用 户 名 @ 主 机 名 IDENTIFIED BY ' 密 码 '; ” 
的 格式 创建 数据 库 管 理 账户 。 再 次 提醒 大 家 ， 一 定 不 要 忘记 每 条 数据 库 命令 后 面 的 分 号 (; )。 





























MariaDB [ (none)]> CREATE USER LukeQlocalhost IDENTIFIED BY ‘'linuxprobe'; 
Query OK, 0 rows affected (0.00 sec) 
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创建 的 账户 信息 可 以 使 用 select 命令 语句 来 查询 。 下 面 命令 查询 的 是 账户 luke 的 主机 名 
你 、 账 户 名 称 以 及 经 过 加 密 的 密码 值 信息 ; 





MariaDB [ (none)]> use mysql 


Reading table information for completion of table and column names 


You can turn off this feature to get a quicker startup with -A 


Database changed 
MariaDB [mysql]> SELECT HOST,USER,PASSWORD FROM user WHERE USER="]luke"; 


二 一 一 一 一 一 一 一 一 一 一 一 二 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| host | user | password 

二 一 一 一 一 一 一 一 一 一 一 一 二 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| localhost | luke | *55D9962586BE75F4B7D421E6655973DB07D6869F | 
二 一 一 一 一 一 一 一 一 一 一 一 二 一 一 一 一 一 一 十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 





























不 过 ， 用 户 luke 仅仅 是 一 个 普通 账户 ,没有 数据 库 的 任何 操作 权限 。 不 信和 的话， 可 以 切 
换 到 luke 账户 来 查询 数据 库 管 理 系统 中 当前 都 有 哪些 数据 库 。 可 以 发 现 ， 该 账户 甚至 没 法 查 

















看 完整 的 数据 库 列 表 (刚才 使 用 root 账户 时 可 以 查看 到 3 个 数据 库 列 表 ): 





MariaDB [mysql]> exit 


Bye 


[root@linuxprobe ~]# mysdql -u luke -p 
Enter password: 此 处 输入 luke 账户 的 数据 库 密码 


Welcome to the MariaDB monitor. 


Your MariaDB connection id is 6 


Server version: 


Copyright (c) 


1 row in set 


Commands end with ; or \g. 


5.5.35-MariaDB MariaDB Server 


2000, 2013, Oracle, Monty Program Ab and others. 


MariaDB [ (none)]> SHOW databases; 


(0.03 sec) 


Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. 











数据 库 管理 系统 所 使 用 的 命令 一 般 都 比较 复杂 。 我 们 以 grant 命令 为 例 进 行 说 明 。grant 





命令 用 于 为 账户 进行 授权 ， 其 常见 格式 如 表 18-1 所 示 。 在 使 用 grant 命令 时 需要 写 上 要 赋予 
的 权限 、 数 据 库 及 表单 名 称 ， 以 及 对 应 的 账户 及 主机 信息 。 其 实 ， 只 要 理解 了 命令 中 每 个 字 
段 的 功能 含义 ， 也 就 不 觉得 命令 复杂 难 懂 了 。 


GRANT 命令 的 常见 格式 以 及 解释 


表 18-1 


全 全 
RD x 


作用 








GRANT 权限 ON 数据 库 .表单 名 称 To 账户 名 @ 主 机 名 





对 某 个 特定 数据 库 中 的 特定 表单 给 予 授权 





GRANT 权限 oN 数据 库 .*To 账户 名 @ 主 机 名 





对 某 个 特定 数据 库 中 的 所 有 表单 给 予 授权 








GRANT 权限 ON* .*TO 账户 名 @ 主 机 名 








对 所 有 数据 库 及 所 有 表单 给 予 授权 





GRANT 权限 1, 权限 2 


ON 数据 库 .*To 账户 名 @ 主 机 名 








对 某 个 数据 库 中 的 所 有 表单 给 予 多 个 授权 











GRANT ALL PRIVIL 





EGES ON *.*TO 账户 名 @ 主 机 名 








对 所 有 数据 库 及 所 有 表单 给 予 全 部 授权 ( 需 谨 
慎 操作 ) 
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当然 ， 账 户 的 授权 工作 肯定 是 需要 数据 库 管 理 员 来 执行 的 。 下 面 以 root 管理 员 的 身份 登 





录 到 数据 库 管 理 系 统 中 ， 针 对 mysql 数据 库 中 的 user 表单 向 账户 luke 授予 查询 、 更 新 、 删 除 
以 及 插入 等 权限 。 





[root@linuxprobe ~]# mysql -u root -p 

Enter password: 此 处 输入 root 管理 员 在 数据 库 中 的 密码 

MariaDB [ (none)]> use mysql; 

Reading table information for completion of table and column names 

You can turn off this feature to get a quicker startup with -A 

Database changed 

MariaDB [mysql]> GRANT SELECT,UPDATE,DELETE,INSERT ON mysql.user TO lukeQ@localhost; 
Query OK, 0 rows affected (0.00 sec) 





在 执行 完 上 述 授权 操作 之 后 ， 我 们 再 查看 一 下 账户 luke 的 权限 : 





MariaDB [ (none)]> SHOW GRANTS FOR luke@localhost; 


| GRANT USAGE ON *.* TO 'luke'@'localhost' IDENTIFIED BY PASSWORD '*55D9962586 
BE75F4B7D421E6655973DB07D6869F" | 
| GRANT SELECT, INSERT, UPDATE, DELETE ON ‘mysql.. user TO 'luke'@'localhost" | 


2 rows in set (0.00 sec) 








上 面 输出 信息 中 显示 账户 luke 已 经 拥有 了 针对 mysql 数 据 库 中 user 表 单 的 一 系列 权限 了 。 





这 时 我 们 再 切换 到 账户 luke， 此 时 就 能 够 看 到 mysql 数据 库 了 ， 而 且 还 能 看 到 表单 user (其 
余 表单 会 因 无 权限 而 被 继续 隐藏 ): 








[root@linuxprobe ~]# mysqgql -u luke -p 
Enter password: 此 处 输入 luke 用 户 在 数据 库 中 的 密码 


MariaDB [ (none)]> SHOW DATABASES; 


十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| Database | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
| information schema | 
| mysal | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 


2 rows in set (0.01 sec) 

MariaDB [ (none)]> use mysql 

Reading table information for completion of table and column names 
You can turn off this feature to get a quicker startup with -A 
Database changed 

MariaDB [mysql]> SHOW TABLES; 


1 row in set (0.01 sec) 
MariaDB [mysql]> exit 
Bye 





J 
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大 家 不 要 心急 ， 我 们 接 下 来 会 慢 慢 学 习 数 据 库 内 容 的 修改 方法 。 当 前 ， 先 切换 回 root 账 
移 除 刚才 的 授权 。 


18.4 ”创建 数据 库 与 表单 





[root@linuxprobe ~]# mysql -u root -p 

Enter password: 此 处 输入 root 管理 员 在 数据 库 中 的 密码 

MariaDB [ (none)]> use mysql; 

Reading table information for completion of table and column names 

You can turn off this feature to get a quicker startup with -A 

Database changed 

MariaDB [ (none)]> REVOKE SELECT,UPDATE,DELETE,INSERT ON mysql.user FROM lukeQ@ 
localhost,; 

Query OK, 0 rows affected (0.00 sec) 








可 以 看 到 ， 除 了 移 除 授权 的 命令 (revoke ) 与 授权 命令 (grant ) 不 同 之 外 ， 其 余部 分 都 
是 一 致 的 。 这 不 仅 好 记 和 而且 也 容易 理解 。 执 行 移 除 授权 命令 后 ， 再 来 查看 账户 luke 的 信息 : 


























MariaDB [ (none)]>SHOW GRANTS FOR luke@localhost; 


| GRANT USAGE ON *.* TO 'luke'@'localhost' IDENTIFIED BY PASSWORD '*55D9962586 
BE75F4B7D421E6655973DB07D6869F" | 


1 row in set (0.00 sec) 





| 18.4 ”创建 数据 库 与 表单 








在 MariaDB 数据 库 管理 系统 中 ,一 个 数据 库 可 以 存放 多 个 数据 表 ，, 数据 表单 是 数据 库 中 
最 重要 最 核心 的 内 容 。 我 们 可 以 根据 自己 的 需求 自 定义 数据 库 表 结构 ， 然 后 在 其 中 合理 地 存 
放 数 据 ， 以 便 后 期 轻松 地 维护 和 修改 。 表 18-2 罗列 了 后 文中 将 使 用 到 的 数据 库 命令 以 及 对 应 
的 作用 。 
























































































































































表 18-2 用 于 创建 数据 库 的 命令 以 及 作用 

命令 作用 
CREATE DATABASE 数据 库 名 称 创建 新 的 数据 库 
DESCRIBE 表单 名 称 描述 表单 
UPDATE 表单 名 称 SET attribute= 新 值 WHERE attribute> 原 始 值 | 更 新 表单 中 的 数据 
USE 数据 库 名 称 彰 定 使 用 的 数据 库 
SHOW databases 显示 当前 已 有 的 数据 库 
SHOW tables 显示 当前 数据 库 中 的 表单 
SELECT * FROM 表单 名 称 从 表单 中 选中 某 个 记录 值 
DELETE FROM 表单 名 WHERE attribute= 值 从 表单 中 删除 某 个 记录 值 











建立 数据 库 是 管理 数据 的 起 点 。 现 在 尝试 创建 一 个 名 为 linuxprobe 的 数据 库 ， 然 后 再 查 
看 数据 库 列 表 ， 此 时 就 能 看 到 它 了 : 











MariaDB [ (none)]> CREATE DATABASE linuxprobe; 
Query OK, 1 row affected (0.00 sec) 
MariaDB [ (none)]> SHOW databases; 
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information _ schema | 
linuxprobe 

mysql | 
performance schema | 





4 rows in set (0.04 sec) 





要 想 创建 数据 表单 , 需要 先 切换 到 某 个 指定 的 数据 库 中 。 比 如 在 新 建 的 linuxprobe 数据 
库 中 创建 表单 mybook， 然 后 进行 表单 的 初始 化 ， 即 定义 存储 数据 内 容 的 结构 。 我 们 分 别 定 
义 3 个 字段 项 ， 其 中 ， 长 度 为 15 个 字符 的 字符 型 字段 name 用 来 存放 网 书 名 称 ， 整 型 字段 
price 和 pages 分 别 存储 图 书 的 价格 和 页 数 。 当 执行 完 下 述 命令 之 后 ， 就 可 以 看 到 表单 的 结 











构 信 息 了 : 





MariaDB [(none)]> use linuxprobe; 


Database changed 








MariaDB [linuxprobe]> CREATE TABLE mybook (name char(15),price int,pages int) ， 
Query OK, 0 rows affected (0.16 sec) 

MariaDB [linuxprobe]> DESCRIBE mybook; 

十 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 十 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 十 一 一 一 一 一 一 一 + 

| Fieéld Type Null | Key | Default | Extra | 

十 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 + 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 

| name char(15) | YES | | NULL | | 

| price | int (11) YES | | NULL | | 

| pages | int (11) YES | | NULL | | 

十 一 一 一 一 一 一 一 二 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 + 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 


3 rows in set (0.02 sec) 
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接 下 来 向 mybook 数据 表单 中 插 一 条 图 书信 息 。 为 此 需要 使 用 INSERT 命令 ， 并 在 命令 
中 写 清 表单 名 称 以 及 对 应 的 字段 项 。 执 行 该 命令 之 后 即 可 完成 图 书写 人 信息 。 下 面 我 们 使 用 


























该 命令 插入 一 条 图 书信 息 ， 其 中 书 名 为 linuxprobe， 价 格 和 页 数 分 别 是 60 元 和 518 页 。 在 命 
令 执 行 后 也 就 意味 着 图 书信 息 已 经 成 功 写 人 到 数据 表单 中 , 然后 就 可 以 查询 表单 中 的 内 容 了 。 
我 们 在 使 用 select 命令 查询 表单 内 容 时 ， 需 要 加 上 想 要 查询 的 字段 ; 如 果 想 查看 表单 中 的 所 






































有 内 容 ， 则 可 以 使 用 星 号 〈* ) 通配符 来 显示 : 





























MariaDB [linuxprobe]> INSERT INTO mybook (name,price,pages) VALUES('linuxprobe', 


OP 

Query OK, 1 row affected (0.00 sec) 

MariaDB [linuxprobe]> SELECT * FROM mybook; 
二 一 一 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 


| name | price | pages | 


| linuxprobe | 60 | 518 | 
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二 一 一 一 一 一 一 一 一 一 一 一 一 二 一 一 一 一 一 一 一 二 一 一 一 一 一 一 一 + 


1 rows in set (0.01 sec) 

















对 数据 库 运 维 人 员 来 讲 ， 需 要 做 好 四 门 功 课 一 一 增 、 删 、 改 、 查 。 这 意味 着 创建 数据 表 
单 并 在 其 中 插入 内 容 仅 仅 是 第 一 步 ， 还 需要 掌握 数据 表单 内 容 的 修改 方法 。 例 如 ， 我 们 可 以 
使 用 update 命令 将 刚才 插入 的 linuxprobe 图 书信 息 的 价格 修改 为 55 元 ， 然 后 在 使 用 select 命 
令 查 看 该 图 书 的 名 称 和 定价 信息 。 注 意 ， 因 为 这 里 只 查看 图 书 的 名 称 和 定价 ， 而 不 涉及 页 码 ， 
所 以 无 须 再 用 星 号 通配符 来 显示 所 有 内 容 。 





























MariaDB [linuxprobe]> UPDATE mybook SET price=55 ，} 
Query OK, 1 row affected (0.00 sec) 
Rows matched: 1 Changed: 1 Warnings: 0 





MariaDB [linuxprobe]> SELECT name,price FROM mybook; 


和 二 + 
| name | price | 
于 一 一 二 二 二 二 二 二 二 一 二 一 二 + 
| linuxprobe | 性 | 
于 二 二 二 二 二 二 二 二 二 省 + 


1 row in set (0.00 sec) 





我 们 还 可 以 使 用 delete 命令 删除 某 个 数据 表单 中 的 内 容 。 下面 我 们 使 用 delete 命令 删除 
数据 表单 mybook 中 的 所 有 内 容 , 然后 再 查看 该 表单 中 的 内 容 , 可 以 发 现 该 表单 内 容 为 空 了 。 


MariaDB [linuxprobe]> DELETE FROM mybook; 
Query OK, 1 row affected (0.01 sec) 

MariaDB [linuxprobe]> SELECT * FROM mybook; 
Empty set (0.00 sec) 


























般 来 讲 ， 数 据 表 单 中 会 存放 成 千 上 万 条 数据 信息 。 比 如 我 们 刚刚 创建 的 用 于 保存 图 书 
信息 的 mybook 表单 ， 随 着 时 间 的 推移 ， 里 面 的 图 书信 息 也 会 越 来 越 多 。 在 这 样 的 情况 下 ， 
如 果 我 们 只 想 查 看 其 价格 大 于 某 个 数值 的 图 书 时 ， 又 该 如 何 定 义 查询 语句 呢 ? 

下 面 先 使 用 insert 插入 命令 依次 插入 4 条 图 书信 息 : 








IO 

















MariaDB [linuxprobe]> INSERT INTO mybook (name,price,pages) VALUES('linuxprobel', 
'30', '518"'); 
Query OK, 1 row affected (0.05 sec) 
MariaDB [linuxprobe]> INSERT INTO mybook (name,price,pages) VALUES('linuxprobe2', 
Vo0 Te ToL) 
Query OK, 1 row affected (0.05 sec) 
MariaDB [linuxprobe]> INSERT INTO mybook (name,price,pages) VALUES('linuxprobe3', 
'80', '518"'); 
Query OK, 1 row affected (0.01 sec) 



































MariaDB [linuxprobe]> INSERT INTO mybook (name,price,pages) VALUES('linuxprobe4', 
EOOT:- SL.) 
Query OK, 1 row affected (0.00 sec) 

















要 想 让 查询 结果 更 加 精准 ， 就 需要 结合 使 用 select 与 where 命令 了 。 其 中 ，where 命令 是 
在 数据 库 中 进行 匹配 查询 的 条 件 命令 。 通 过 设置 查询 条 件 ， 就 可 以 仅 查找 出 符合 该 条 件 的 数 
据 。 表 18-3 列 出 了 where 命令 中 常用 的 查询 参数 以 及 作用 。 
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表 18-3 where 命令 中 使 用 的 参数 以 及 作用 
参数 作用 
= 相等 
<> 或 != 不 相等 
> 大 于 
< 小 于 
>= 大 于 或 等 于 
<= 小 于 或 等 于 
BETWEEN 在 某 个 范围 内 
LIKE 搜索 一 个 例子 
IN 在 列 中 搜索 多 个 值 





现在 进入 动手 环节 。 分 别 在 mybook 表单 中 查找 出 价格 大 于 75 元 或 价格 不 等 于 80 元 的 
书 ， 其 对 应 的 命令 如 下 所 示 。 在 熟悉 了 这 两 个 查询 条 件 之 后 ， 大 家 可 以 自行 尝试 精确 查找 
书 名 为 linuxprobe2 的 图 书信 息 。 




















多 多 














MariaDB [linuxprobe]> SELECT * FROM mybook WHERE price>75; 


十 一 一 一 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 
| name | price | pages | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 
| linuxprobe3 | 80 | 518 | 
| linuxprobe4 | 100 | 518 | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 


2 rows in set (0.06 sec) 
MariaDB [linuxprobe]> SELECT * FROM mybook WHERE price!=80; 
二 一 一 一 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 


| name | price | pages 


+ 一 一 一 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 
| linuxprobel | 30 | 518 | 
| linuxprobe2 | 50 | 518 | 
| linuxprobe4 | 100 | 518 | 
+ 一 一 一 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 


3 rows in set (0.01 sec) 
MariaDB [mysql]> exit 
Bye 





18.6 ”数据 库 的 备份 及 恢复 





前 文 提 到 ， 本 书 的 技术 主线 是 Linux 系统 的 运 维 方向 ， 不 会 对 数据 库 管理 系统 的 操作 进 
行 深入 的 讲解 ， 因 此 大 家 掌握 了 上 面 这 些 基本 的 数据 库 操作 命令 之 后 就 足够 了 。 下 面 要 讲解 
的 是 数据 库 的 备份 以 及 恢复 ， 这 些 知识 比较 实用 ， 和 希望 大 家 能 够 掌握 。 
mysqldump 命令 用 于 备份 数据 库 数据 , 格式 为 “mysqldump [参数 ] [数据 库 名 称 ]”。 其 
中 参数 与 mysql 命令 大 致 相同 , -u 参数 用 于 定义 登录 数据 库 的 账户 名 称 ，-p 参数 代表 密码 
提示 符 。 下 面 将 linuxprobe 数据 库 中 的 内 容 导 出 成 一 个 文件 , 并 保存 到 root 管理 员 的 家 目 
录 中 : 
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[root@linuxprobe ~]# mysqldump -u root -P linuxprobe > /root/1LinuxprobeDB.dqump 


Enter password: 此 处 输入 root 管理 员 在 数据 库 中 的 密码 








然后 进入 MariaDB 数据 库 管理 系统 ， 彻 底 删 除 linuxprobe 数据 库 ， 这 样 mybook 数据 表 
单 也 将 被 彻底 删除 。 然 后 重新 建立 linuxprobe 数据 库 : 
MariaDB [ (none)]> DROP DATABASE linuxprobe; 


Query OK, 1 row affected (0.04 sec) 
MariaDB [ (none)]> SHOW databases; 








| information schema | 


| mysql 
| performance schema | 


3 rows in set (0.02 sec) 
MariaDB [ (none)]> CREATE DATABASE linuxprobe; 
Query OK, 1 row affected (0.00 sec) 


接 下 来 是 见证 数据 恢复 效果 的 时 刻 ! 使 用 输入 重 定向 符 把 刚刚 备份 的 数据 库 文件 导入 到 
mysql 命令 中 ， 然 后 执行 该 命令 。 接 下 来 登录 到 MariaDB 数据 库 ， 就 又 能 看 到 linuxprobe 数 
据 库 以 及 mybook 数据 表单 了 。 数 据 库 恢 复 成 功 ! 


[root@linuxprobe ~]# mysql -u root -p linuxprobe < /root/linuxprobeDB.dump 
Enter password: 此 处 输入 root 管理 员 在 数据 库 中 的 密码 值 

[root@linuxprobe ~]# mysql -u root -p 

Enter password: 此 处 输入 root 管理 员 在 数据 库 中 的 密码 值 

MariaDB [ (none)]> use linuxprobe; 

Reading table information for completion of table and column names 

You can turn off this feature to get a quicker startup with -A 






































Database changed 
MariaDB [linuxprobe]> SHOW tables; 


十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 
Tables in linuxprobe | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 十 
mybook | 
十 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 + 


row in set (0.05 sec) 





MariaDB [linuxprobe]> DESCRIBE mybook; 
+ 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 + 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 
Field | Type | Null | Key | Default | Extra | 
+ 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 + 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 
name | char(15) | YES | | NULL | 
priceé | irnt(11) as | | NULL | | 
pages | int(11) | YES | | NULL | | 
+ 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 + 一 一 一 一 一 + 一 一 一 一 一 一 一 一 一 + 一 一 一 一 一 一 一 + 


3 rows in set (0.02 sec) 





| 复习 题 











1. RHEL 7 系统 为 何 选择 使 用 MariaDB 替代 MySQL 数据 库 管理 系统 ? 
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答 : 因为 MariaDB 由 开源 社区 进行 维护 ， 且 不 受 商业 专利 限制 。 


初始 化 MariaDB 或 MySQL 数据 库 管理 系统 的 命令 是 什么 ? 
答 : 是 mysql_secure_installation 命令 ,建议 每 次 安装 MariaDB 或 MySQL 数据库 
后 都 执行 这 条 命令 。 








芭 
fae 


里 系统 








用 来 查看 已 有 数据 库 或 数据 表单 的 命令 是 什么 ? 
答 : 要 查看 当前 已 有 的 数据 库 列 表 ， 需 执行 SHOW databases; 命 令 ; 要 查看 已 有 的 数据 表单 
列表 ， 则 需 执 行 SHOW tables; 命 令 。 











切换 至 某 个 指定 数据 库 的 命令 是 什么 ? 
答 : 执行 “use 数据 库 名 称 ” 命 令 即 可 切换 成 功 。 








若 想 针对 某 个 账户 进行 授权 或 取消 授权 操作 ， 应 该 执行 什么 命令 ? 

答 : 针对 账户 进行 授权 ， 需 执行 GRANT 命令 ; 取消 授权 则 需 执行 REVOKE 命令 。 
若 只 想 查 看 mybook 表单 中 的 name 字段 ， 应 该 执行 什么 命令 ? 

答 : 应 执行 SELECT name FROM mybook 命令 。 





若 只 想 查 看 mybook 表单 中 价格 大 于 75 元 的 图 书信 息 ， 应 该 执行 什么 命令 ? 
答 : 应 执行 SELECT * FROM mybook WHERE price>75 命令 。 





要 想 把 linuxprobe 数据 库 中 的 内 容 导 出 为 一 个 文件 (保存 到 root 管理 员 的 家 目录 中 ) 应 该 执 
行 什么 命令 ? 


答 : 应 执行 mysqldump -u root -p linuxprobe > /root/linuxprobeDB.dump 命令 。 


EEEH 


使 用 PXE+Kickstart 无 人 值守 安装 服务 


本 章 讲解 了 如 下 内 容 : 


> 无 人 值守 安装 系统 ; 
> ”部 署 相关 服务 程序 ; 
> ”自动 部 署 客 户 端 主机 。 





刚 入 职 的 运 维新 手 经 常会 被 要 求 去 做 一 些 安装 操作 系统 的 工作 。 如 果 按 照 第 1 章 讲解 的 
用 光盘 镜像 来 安装 操作 系统 ， 其 效率 会 相当 低下 。 本 章 将 介绍 可 以 实现 无 人 值守 安装 服务 的 
PXE+Kickstart 服务 程序 ， 并 带领 大 家 动手 安装 部 署 PXE + TFTP + FTP + DHCP + Kickstart 等 
服务 程序 ， 从 而 搭建 出 一 套 可 批量 安装 Linux 系统 的 无 人 值守 安装 系统 。 在 学 完 本 章 内 容 之 
后 ， 运 维新 手 就 可 以 避免 枯燥 乏味 的 重复 性 工作 ， 大 大 提供 系统 安装 的 效率 。 

















| 19.1 无 人 值守 安装 系统 























本 书 在 第 1 章 讲解 了 使 用 光盘 镜像 来 安装 Linux 系统 的 方法 ,坦白 讲 ， 该 方法 适用 于 
只 安装 少量 Linux 系统 的 情况 。 如 果 生 产 环境 中 有 数 百 台 服务 器 都 需要 安装 系统 , 这 种 方式 
就 不 合 时 宜 了 。 这 时 ,我 们 就 需要 使 用 PXE + TFTP +FTP + DHCP + Kickstart 服务 搭建 出 一 
个 无 人 值守 安装 系统 。 这 种 无 人 值守 安装 系统 可 以 自动 地 为 数 十 台 服务 器 安装 系统 ， 这 一 
方面 将 运 维 人 员 从 重复 性 的 工作 中 解救 出 来 ， 也 大 大 提升 了 系统 安装 的 效率 。 

无 人 值守 安装 系统 的 工作 流程 如 图 19-1 所 示 。 

















第 1 步 : 请 求 、 分 配 网 卡 IP 地 址 


图 19-1 无 人 值守 安装 系统 的 工作 流程 








PXE ( Preboot eXecute Environment， 预 启动 执行 环境 ) 是 由 Intel 公司 开发 的 技术 ， 
可 以 让 计算 机 通过 网 络 来 启动 操作 系统 (前 提 是 计算 机 上 安装 的 网 卡 文 持 PXE 技术 ), 主 
要 用 于 在 无 人 机 值守 安装 系统 中 引导 客户 端 主机 安装 Linux 操作 系统 。Kickstart 是 一 种 无 
人 值守 的 安装 方式 ， 其 工作 原理 是 预先 把 原本 需要 运 维 人 员 手 工 填写 的 参数 保存 成 一 个 
ks.cfg 文件 ， 当 安装 过 程 中 需要 填写 参数 时 则 自动 匹配 Kickstart 生成 的 文件 。 所 以 只 要 


































































































使 用 PXE+Kickstart 无 人 值守 安装 服务 


Kickstart 文件 包含 了 安装 过 程 中 需要 人 工 填 写 的 所 有 参数 , 那么 从 理论 上 来 讲 完全 不 需要 
运 维 人 员 的 干预 ， 就 可 以 自动 完成 安装 工作 。TFTP、FTP 以 及 DHCP 服务 程序 的 配置 与 
部 署 已 经 在 第 11 章 和 第 14 章 进 行 了 详细 讲解 ， 这 里 不 再 玲 述 。 

由 于 当前 的 客户 端 主机 并 没有 完整 的 操作 系统 ， 也 就 不 能 完成 FTP 协议 的 验证 了 ， 所 以 
需要 使 用 TFTP 协议 帮助 客户 端 获 取 引 导 及 驱动 文件 ,vsftpd 服务 程序 用 于 将 完整 的 系统 安装 
镜像 通过 网 络 传 输 给 客户 端 。 当 然 ， 只 要 能 将 系统 安装 镜像 成 功 传输 给 客户 端 即 可 ， 因 此 也 
可 以 使 用 httpd 来 替代 vsftpd 服务 程序 。 


| 19.2 部署 相 关 服 务 程序 


19.2.1 配置 DHCP 服务 程序 


DHCP 服务 程序 用 于 为 客户 端 主机 分 配 可 用 的 全 地 址 ,而且 这 是 服务 器 与 客户 端 主机 进 
行文 件 传输 的 基础 ， 因 此 我 们 先行 配置 DHCP 服务 程序 。 首 先 按照 表 19-1 为 无 人 值守 系统 设 
置 站 地 址 ,然后 按照 图 19-2 和 图 19-3 在 虚拟 机 的 虚拟 网 络 编辑 器 中 关闭 自身 的 DHCP 服务 。 










































































表 19-1 无 人 值守 系统 与 客户 端的 设置 
主机 名 称 操作 系统 IP 地 址 
无 人 值守 系统 RHEL 7 192.168.10.10 
客户 端 主 机 未 安装 操作 系统 
1 Wrene Worlntation ET 一 X 一 
ytD [BME] ago eag RhO watl | ll | GDBREUSUEG | 


六 RMEL 


| App -vais av 得 吸 Thu22:10 加 root- 


国志 网 滞 策 骆 址 (N) 
过 栅 (R) Culsp 








图 19-2 ”打开 虚拟 机 的 虚拟 网 络 编辑 器 








如 去 拟 网 络 编 每 舌 I 
| 名 称 类 型 外 部 连接 主机 连接 DHCP 子 网 地 址 
| | YMneto 桥接 模式 “自动 桥接 - - - 

VMneti 公主 机 - 已 连接 = 192.168.75.0 

VMnet8 。 NAT 模式 ”NAT 模式 已 连接 已 启用 192.168.169.0 








添加 网 络 全 … | | 移 除 网 络 (0) 

VMnet 信息 

桥接 模式 (将 虚拟 机 直接 连接 到 外 部 网 络 )@) 

桥接 到 (D; 自动 

NAT 模式 (与 虚拟 机 共享 主机 的 切 地 址 )N) 
名 仅 主机 模式 (在 专用 网 络 内 连接 虚拟 机 )(H) 
尺 将 主机 虚拟 适 思 器 连接 到 此 网 络 (V) 
主机 虚拟 适配器 名 称 : VMware 网 络 适 配器 VMnet1i 
于 = 区 双 吕 将 瑟 其 给 虚 所 





子 网 也 人 0: 192 .168 .75 .0 子 网 搞 码 (M): 255 .255 .255 . 0 





还 原 默 认 设置 (R) 确定 」 取消 | 














图 19-3 ”关闭 虚拟 机 自 带 的 DHCP 服务 
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19.2 ”部署 相关 服务 程序 














当 挂 载 好 光盘 镜像 并 把 Yum 仓库 文件 配置 妥当 后 ,就 可 以 安装 DHCP 服务 程序 软件 包 了 。 











[root@linuxprobe ~]# yum install dhcp 

Loaded plugins: langpacks, product-id, subscription-manager 

This system is not registered to Red Hat Subscription Management. You can use 
subscription-manager to register. 

rhel | 4.1 kB 00:00 

Resolving Dependencies 

--> Running transaction check 

---> Package dhcp.x86 64 12:4.2.5-27.el7 will be installed 

--> Finished Dependency Resolution 

Dependencies Resolved 








Package Arch Version Repository Size 








Installing: 
dhcp x86 64 12:4.2.5-27.el1l7 rhel 506 k 


Transaction Summary 








Install 1 Package 

Total download size: 506 k 
Installed size: 1.4 M 

Is this ok [y/d/N]: y 
Downloading packages: 





Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 
Installing : 12:dqhcp-4.2.5-27.e17.x86 64 1/1 
Verifying : 12:dhcp-4.2.5-27.e17.x86_64 1/1 
Installed: 
dhcp.x86 64 12:4.2.5-27.el7 
Complete! 


第 14 章 已 经 详细 讲解 了 DHCP 服务 程序 的 配置 以 及 部 署 方法 ， 相 信 各 位 读者 对 相关 的 配 
置 参数 还 有 -一些 印象 。 但 是 , 我 们 在 这 里 使 用 的 配置 文件 与 第 14 章 中 的 配置 文件 有 两 个 主要 区 
别 : 允许 了 BOOTP 引导 程序 协议 ， 旨 在 让 局 域 网 内 暂时 没有 操作 系统 的 主机 也 能 获取 静态 他 
地 址 ; 在 配置 文件 的 最 下 面 加 载 了 引导 驱动 文件 pxelinux.0 ( 这 个 文件 会 在 下 面 的 步骤 中 创建 )， 
其 目的 是 让 客户 端 主机 获取 到 卫 地 址 后 主动 获取 引导 驱动 文件 ， 自 行进 入 下 一 步 的 安装 过 程 。 




































































[root@linuxprobe ~]# vim /etc/dhcp/dhcpd.conf 
allow booting; 
allow bootp; 
ddns-update-style interim; 
ignore client-updates; 
subnet 192.168.10.0 netmask 255.255.255.0 { 
option subnet-mask 2050 255 259. 0> 
option domain-name-servers 192.168.10.10; 
range dynamic-bootp 192.168.10.100 192.168.10.200; 


default-lease-time 21600; 
max-lease-time 43200; 
next 一 SerVeL 192.168.10.10; 
filename "pxelinux.0"; 





349 


使 用 PXE+Kickstart 无 人 值守 安装 服务 











在 确认 DHCP 服务 程序 的 参数 都 填写 正确 后 , 重新 启动 该 服务 程序 , 并 将 其 添加 到 开机 启动 





ll 











项 中 。 这 样 在 设备 下 一 次 重启 之 后 ， 在 无 顷 人 工 干预 的 情况 下 ， 自 动 为 客户 端 主机 安装 系统 。 





[root@linuxprobe ~]# systemctl1 restart dhcpd 
[root@linuxprobe ~]# systemctl1 enable dhcpd 


ln -s '/usr/lib/systemd/system/dhcpd.service' '/etc/systemd/system/multi-user. 
target .wants/dhcpd.service"' 





19.2.2 配置 TFTP 服务 程序 




















我 们 曾经 在 第 11 章 中 学 习 过 vsftpd 服务 与 TFTP 服务 。vsftpd 是 一 款 功 能 丰富 的 文件 传 





输 服务 程序 ， 人 允许 用 户 以 匿名 开放 模式 、 本 地 用 户 模 式 、 虚 拟 用 户 模 式 来 进行 访问 认证 。 但 




















是 ,当前 的 客户 端 主机 还 没有 安装 操作 系统 , 该 如 何 进行 登录 认证 呢 ? 而 TFTP 作为 一 种 基 





于 UDP 协议 的 简单 文件 传输 协议 ， 不 需要 进行 用 户 认 证 即 可 获取 到 所 需 的 文件 资源 。 因 此 
接 下 来 配置 TFTP 服务 程序 , 为 客户 端 主 机 提供 引导 及 驱动 文件 。 当 客户 端 主机 有 了 基本 的 
驱动 程序 之 后 ， 再 通过 vsftpd 服务 程序 将 完整 的 光盘 镜像 文件 传输 过 去 。 
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[root@linuxprobe ~]# yum install tftp-server 


Loaded plugins: langpacks, product-id, subscription-manager 

This system is not registered to Red Hat Subscription Management. You can use 
subscription-manager to register. 

Resolving Dependencies 

--> Running transaction check 

---> Package tftp-server.x86 64 0:5.2-11.el7 will be installed 

--> Processing Dependency: xinetd for package: tftp-server-5.2-11.el1l7.x86 64 
--> Running transaction Check 

---> Package xinetd.x86 64 2:2.3.15-12.el7 will be installed 

--> Finished Dependency Resolution 

Dependencies Resolved 








Package Arch Version Repository Size 








Installing: 


tftp-server x86 64 5.2-11.el7 rhel 44 k 


Installing for dependencies: 


xinetd x86 64 2:2.3.15-12.el7 rhel 128 k 


Transaction Summary 








Install 1 Package (+1 Dependent package) 
Total download size: 172 k 

Installed size: 325 k 

Is this ok [y/d/N]: y 

Downloading packages: 

Total 1.7 MB/s | 172 kB 00:00 

Running transaction check 


Running transaction test 





Transaction test succeeded 
Running transaction 


Installing : 2:xinetd-2.3.15-12.e17.x86 64 1/2 
Installing : 七 ftp-server-5.2-11.e17.x86 64 2/2 
Verifying : 2:xinetd-2.3.15-12.el17.x86 64 1/2 
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Verifying : tftp-server-5.2-11.el1l7.x86 64 2/2 
Installed: 

tftp-server.x86 64 0:5.2-11.el7 

Dependency Installed: 

xinetd.x86 64 2:2.3.15-12.el7 

Complete! 























TFTP 是 一 种 非常 精简 的 文件 传输 服务 程序 ， 它 的 运行 和 关闭 是 由 xinetd 网 络 守 护 进 
程 服务 来 管理 的 。xinetd 服务 程序 会 同时 监听 系统 的 多 个 端口 ， 然 后 根据 用 户 请 求 的 端口 
号 调 取 相应 的 服务 程序 来 响应 用 户 的 请 求 。 需 要 开启 TFTP 服务 程序 ， 只 需 在 xinetd 服务 
程序 的 配置 文件 中 把 disable 参数 改 成 no 就 可 以 了 ,保存 配置 文件 并 退出 ,然后 重启 xinetd 
服务 程序 ， 并 将 其 加 入 到 开机 启动 项 中 (在 RHEL7 系统 中 ,已 经 默认 启用 了 xinetd 服务 
程序 ， 因 此 在 将 其 添加 到 开机 启动 项 中 的 时 候 没 有 输出 信息 属于 正常 情况 )。 





















































[root@linuxprobe ~.d]# vim /etc/xinetd.d/tftp 
service tftp 


{ 


socket type = dgram 

protocol = udp 

wait = yes 

user = Ek 

server = /usr/sbin/in.tftpd 
server args = -S /var/lib/tftpboot 
disable = no 

per_source = 11 

eps = 100 2 

flags = IPv4 


[root@linuxprobe xinetd.d]l# Systemct1 restart xinetd 
[root@linuxprobe xinetd.d]l# systemctl enable xinetd 


























TFTP 服务 程序 默认 使 用 的 是 UDP 协议 ,占用 的 端口 号 为 69， 所 以 在 生产 环境 中 还 需要 
在 firewalld 防火 墙 管理 工具 中 写 入 使 其 永久 生效 的 允许 策略 ， 以 便 让 客户 端 主 机 顺利 获取 到 
引导 文件 。 


[root@linuxprobe ~]# firewall-cmd --permanent --add-port=69/udp 














success 
[root@linuxprobe ~]# firewall-cmd --reload 
success 





19.2.3 配置 SYSLinux 服务 程序 




















SYSLinux 是 一 个 用 于 提供 引导 加 载 的 服务 程序 。 与 其 说 SYSLinux 是 一 个 服务 程序 ， 不 
如 说 更 需要 里 面 的 引导 文件 , 在 安装 好 SYSLinux 服务 程序 软件 包 后 ，/usrshare/syslinux 目录 
中 会 出 现 很 多 引导 文件 。 


[root@linuxprobe ~]# yum install syslinux 




















Loaded plugins: langpacks, product-id, subscription-manager 

This system is not registered to Red Hat Subscription Management. You can use 
subscription-manager to register. 

Resolving Dependencies 

--> Running transaction check 
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---> Package syslinux.x86 64 0:4.05-8.el7 will be installed 


--> Finished Dependency Resolution 
Dependencies Resolved 








Package Arch Version Repository Size 








Installing: 
syslinux x86 64 4.05-8.e17 rhel 1.0 M 


Transaction Summary 








nstall 1 Package 

Total download size: 1.0 M 
Installed size: 2.3 M 

Is this ok [y/d/N]: y 
Downloading packages: 





Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 
Installing : syslinux-4.05-8.el7.x86 64 1/1 
Verifying : syslinux-4.05-8.el17.x86 64 1/1 
Installed: 
syslinux.x86 64 0:4.05-8.el17 
Complete! 





文 提 到 的 文件 pxelinux.0, 这 样 客 户 端 主机 就 能 够 顺利 地 获取 到 引号 
光盘 镜像 中 也 有 一 些 我 们 需要 调 取 的 纪 


使 月 


























我 们 首先 需要 把 SYSLinux 提供 的 引导 文件 复制 到 TFTP 服务 程序 的 默认 目录 中 ， 也 就 是 前 











导 文件 了 。 另外 在 RHEL7 系统 





| 导 文 件 。 确认 光盘 镜像 已 经 被 挂 载 到 /mediaycdrom 目录 后 ， 








有 复制 命令 将 光盘 镜像 中 自 带 的 一 些 引 导 文 件 也 复制 到 TFTP 服务 程序 的 默认 目录 中 。 








[root@linuxprobe ~]# cd /var/lib/tftpboot 


[root@linuxprobe tftpboot]# cp /usr/share/syslinux/pxelinux.0 . 


[root@linuxprobe tftpboot]# cp /media/cdrom/images/pxeboot/{vmlinuz,initrd.img} 


[root@linuxprobe tftpboot]# cp /media/cdrom/isolinux/{vesamenu.c32,boot.msg} 





依然 也 是 目录 ， 而 非 文件 ! 将 系统 光盘 中 的 开机 选项 菜 六 
这 个 default 文件 就 是 开机 时 的 选项 菜单 ， 如 
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然后 在 TFTP 服务 程序 的 目录 中 新 建 pxelinux.cfg 目录 , 虽然 该 目录 的 名 字 带 有 后 级 , 但 





























复制 到 该 目录 中 ， 并 命名 为 default。 
图 19-4 所 示 。 


Red Hat Enterprise Linux Server, with Linux 3.18.8-123.el17.x86_64 


Red Hat Enterprise Linux Server, with Linux 8-rescue-112e8c6eb855941b2974> 


Use the T and + keys to change the selection. 
Press "e” to edit the selected iteM，or ‘'c’ 
The selected entry will be started autoMatically in 5s. 





图 19-4 Linux 系统 的 引号 





for a coMMand proMpt . 
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root@linuxprobe tftpboot]# mkdir pxelinux.cfg 


default 


root@linuxprobe tftpboot]# cp /media/cdrom/isolinux/isolinux.cfg pxelinux.cfg/ 




















默认 的 开机 菜单 中 有 两 个 选项 ， 要 么 是 安装 系统 ， 要 么 是 对 安 
们 已 经 确定 采用 无 人 值守 的 方式 安装 系统 ， 还 需要 为 每 台 主机 手动 
我 们 的 主旨 (无 人 值守 安装 ) 相悖 。 现 在 我 们 编辑 这 个 default 文件 


























装 介 质 进行 检验 。 既 然 我 
选择 相应 的 选项 ， 未 免 与 
， 把 第 1 行 的 default 参数 


修改 为 lnux， 这 样 系统 在 开机 时 就 会 默认 执行 那个 名 称 为 linux 的 选项 了 。 对 应 的 linux 选项 
大 约 在 64 行 , 我 们 将 默认 的 光盘 镜像 安装 方式 修改 成 FTP 文件 传输 方式 , 并 指定 好 光盘 镜像 





的 获取 网 址 以 及 Kickstart 应 答 文 件 的 获取 路 径 : 





[root@linuxprobe tftpboot]# vim pxelinux.cfg/default 
1 default linux 
timeout 600 


2 
3 
4 display boot .msd 
与 
6 
尝 
8 


9 menu clear 

10 menu background splash.png 

11 menu title Red Hat Enterprise Linux 7.0 
12 menu vshift 8 

13 menu rows 18 

14 menu margin 8 

15 #menu hidden 

16 menu helpmsgrow 15 


17 menu tabmsgrow 13 


19 # Border Area 
20 menu color border * #00000000 #00000000 none 


22 # Selected item 
23 menu color sel 0 #f£ffffffff #00000000 none 


25 # Title bar 
26 menu color title 0 #ff7ba3d0 #00000000 none 


28 # Press [Tab] message 
29 menu color tabmsg 0 #ff3a6496 #00000000 none 


31 # Unselected menu item 
32 menu color unsel 0 #84b8ffff #00000000 none 


34 # Selected hotkey 
35 menu color hotsel 0 #84b8ffff #00000000 none 


37 # Unselected hotkey 
38 menu color hotkey 0 #f£fffffff #00000000 none 


40 # Help text 


# Clear the screen when exiting the menu, instead of leaving the menu displa yed. 
# For vesamenu, this means the graphical background is still displayed witho ut 


# the menu itself for as long as the screen remains in graphics mode. 
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menu color help 0 #f£fffffff #00000000 none 


# A scrollbar of some type? Not sure. 
menu color scrollbar 0 #ffffffff #ff355594 none 


# Timeout msg 
menu color timeout 0 #f£fffffff #00000000 none 


和 
. 
3 
4 
45 
6 
村 
8 menu color timeout msg 0 #f£ffffffff #00000000 none 





49 

50 # Command prompt text 

51 menu color cmdmark 0 #84b8ffff #00000000 none 

52 menu color cmdline 0 #f£ffffffff #00000000 none 

S53 

54 # Do not display the actual menu unless the user presses a key. All that is 
displayed is a timeout message. 

55 

56 menu tabmsg Press Tab for full configuration options on menu items. 
5 

58 menu separator # insert an empty line 

59 menu separator # insert an empty line 

59 menu separator # insert an empty line 

60 

61 label linux 

62 menu label “^Install Red Hat Enterprise Linux 7.0 

63 kernel vmlinuz 

64 append initrd=initrd.img inst.stage2=ftp://192.168.10.10 ks=ftp://192.168. 
10.10/pub/ks.cfg quiet 

65 
a 省 略 部 分 输出 信息 





19.2.4 配置 vsftpd 服务 程序 


在 我 们 这 套 无 人 值守 安装 系统 的 服务 中 ， 光 盘 镜 像 是 通过 FTP 协议 传输 的 ， 因 此 势 
必要 用 到 vsftpd 服务 程序 。 当然, 也 可 以 使 用 httpd 服务 程序 来 提供 Web 网 站 访问 的 方式 ， 
只 要 能 确保 将 光盘 镜像 顺利 传输 给 客户 端 主机 即 可 。 如 果 打 算 使 用 Web 网 站 服务 来 提供 
光盘 镜像 ,一 定 记得 将 上 面 配置 文件 中 的 光盘 镜像 获取 网 址 和 Kickstart 应 答 文 件 获 取 网 址 
修改 一 下 。 




















[root@linuxprobe ~]# yum install vsftpd 

Loaded plugins: langpacks, product-id, subscription-manager 

This system is not registered to Red Hat Subscription Management. You can use 
subscription-manager to register. 

Resolving Dependencies 

--> Running transaction check 

---> Package vsftpd.x86 64 0:3.0.2-9.el7 will be installed 

--> Finished Dependency Resolution 

Dependencies Resolved 








Package Arch Version Repository Size 








Installing: 
vsftpd x86 64 3.0.2-9.e17 rhel 166 k 
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Transaction Summary 








Install 1 Package 
Total download size: 166 k 

Installed size: 343 k 

Is this ok [y/d/N]: y 
Downloading packages: 
Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 

Installing : vsftpd-3.0.2-9.el17.x86 64 1/1 
Verifying : vsftpd-3.0.2-9.el1l7.x86 64 1/1 
Installed: 

vsftpd.x86 64 0:3.0.2-9.el7 
Complete! 








刘 递 老师 再 曼 嗪 一 句 ， 在 配置 文件 修改 正确 之 后 ， 一 定 将 相应 的 服务 程序 添加 到 开机 局 
动 项 中 ， 这 样 无 论 是 在 生产 环境 中 还 是 在 红 帽 认 证 考试 中 ， 都 可 以 在 设备 重启 之 后 依然 能 提 
供 相应 的 服务 。 和 希望 各 位 读者 一 定 养 成 这 个 好 习惯 。 














[root@linuxprobe ~]# Systemct1 restart vsftpd 

[root@linuxprobe ~]# systemctl1 enable vsftpd 

ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/systemd/system/multi-~user. 
target .wants/vsftpd.service' 








在 确认 系统 光盘 镜像 已 经 正常 挂 载 到 /media/cdrom 目录 后 ,把 目录 中 的 光盘 镜像 文件 全 
部 复制 到 vsftpd 服务 程序 的 工作 目录 中 。 








[root@linuxprobe ~]# cp -r /media/cdrom/* /var/ftp 











这 个 过 程 大 约 需要 3 一 5 分 钟 。 在 此 期 间 , 我 们 也 别 闲 着 , 在 firewalld 防火 墙 管理 工具 中 
写 入 使 FTP 协议 永久 生效 的 允许 策略 ， 然 后 在 SELinux 中 放行 FTP 传输 : 








[root@linuxprobe ~]# firewall-cmd --Permanent --add-service=ftp 
success 

[root@linuxprobe ~]# firewall-cmd --reload 

success 

[root@linuxprobe ~]# setsebool -P ftpd connect all unreserved=on 





19.2.5 创建 KickStart 应 答 文 件 


毕竟 ,我 们 使 用 PXE + Kickstart 部 署 的 是 一 套 “ 无 人 值守 安装 系统 服务 "， 而 不 是 “无 人 值 
守 传 输 系 统 光 盘 镜 像 服务 ， 因 此 还 需要 让 客户 端 主机 能 够 一 边 获取 光盘 镜像 ， 还 能 够 一 边 自动 
帮 我 们 填写 好 安装 过 程 中 出 现 的 选项 。 简 单 来 说 ， 如 果 生 产 环境 中 有 100 台 服 务 器 ， 它 们 需要 安 
装 相 同 的 系统 环境 ， 那 么 在 安装 过 程 中 单 击 的 按钮 和 填写 的 信息 也 应 该 都 是 相同 的 。 那 么 ， 为 什 
么 不 创建 一 个 类 似 于 备忘录 的 需求 清单 呢 ? 这 样 ， 在 无 人 值守 安装 系统 时 ， 可 以 从 这 个 需求 清单 
中 找到 相应 的 选项 值 ， 从 而 免 去 了 手动 输入 之 苦 ， 更 重要 的 是 ， 也 彻底 解放 了 人 的 干预 ， 彻 底 实 
现 无 人 值守 自动 安装 系统 ， 而 不 是 单纯 地 传输 系统 光盘 镜像 。 

有 了 上 文 做 铺垫 ， 相 信 大 家 现在 应 该 可 以 猜 到 Kickstart 其 实 并 不 是 一 个 服务 程序 ， 而 是 






































I 
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一 个 应 答 文 件 了 。 是 的 ! Kickstart 应 答 文件 中 包含 了 系统 安装 过 程 中 需要 使 用 的 选项 和 参数 
言 息 ， 系 统 可 以 自动 调 取 这 个 应 答 文件 的 内 容 ， 从 而 彻底 实现 了 无 人 值守 安装 系统 。 那 么 ， 
既然 这 个 文件 如 此 重要 ， 该 去 哪里 找 呢 ? 其 实在 root 管理 员 的 家 目录 中 有 一 个 名 为 
anaconda-ks.cfg 的 文件 ， 它 就 是 应 答 文件 。 下 面 将 这 个 文件 复制 到 vsftpd 服务 程序 的 工作 目 
录 中 (在 开机 选项 菜单 的 配置 文件 中 已 经 定义 了 该 文件 的 获取 路 径 ， 也 就 是 vsftpd 服务 程序 
数据 目录 中 的 pub 子 目录 中 )。 使 用 chmod 命令 设置 该 文件 的 权限 , 确保 所 有 人 都 有 可 读 的 权 

限 ， 以 保证 客户 端 主机 可 以 顺利 获取 到 应 答 文件 及 里 面 的 内 容 : 


























[root@linuxprobe ~]# cp ~/anaconda-ks.cfg /var/ftp/pub/ks.cfg 
[root@linuxprobe ~]# chmod +r /var/ftp/pub/ks.cfg 





Kickstart 应 答 文 件 并 没有 想象 中 的 那么 复杂 ， 它 总 共 只 有 46 行 左 右 的 参数 和 注释 内 容 ， 
大 家 完全 可 以 通过 参数 的 名 称 及 介绍 来 快速 了 解 每 个 参数 的 作用 。 刘 遂 老 师 在 这 里 挑选 几 个 
比较 有 代表 性 的 参数 进行 讲解 ， 其 他 参数 建议 大 家 自行 修改 测试 。 
首先 把 第 6 行 的 光盘 镜像 安装 方式 修改 成 FTP 协议 , 仔细 填写 好 FTP 服务 器 的 人 地址 ， 并 
本 地 浏览 器 尝试 打开 下 检查 有 没有 报错 。 然 后 把 第 21 行 的 时 区 修改 成 上 海 (Asia/Shanghai)， 最 
后 再 把 29 行 的 磁盘 选项 设置 为 清空 所 有 磁盘 内 容 并 初始 化 磁盘 : 















































ll 




















— 





















































root@linuxprobe ~]# vim /var/ftp/pub/ks.cfg 


1 #version=RHEL7 

2 # System authorization information 

3 auth --enableshadow --passalgo=sha512 

4 

5 # Use CDROM installation media 

6 url --url=ftp://192.168.10.10 

7 # Run the Setup Agent on first boot 

8 firstboot --enable 

9 ignoredisk --only-use=sda 

10 # Keyboard layouts 

11 keyboard --vckeymap=us --xlayouts="'us" 
12 # System language 

13 lang en US.UTF-8 

14 

15 # Network information 

16 network --bootproto=dhcp --device=eno16777728 --onboot=off --ipv6=auto 


记 
-J 


network --hostname=localhost.localdomain 

18 # Root password 

19 rootpw --iscrypted $6$pDjJf42g98C6pL0O69$iI.PX/yFaqpoO0ENw2pa7Momk jLyoae2zjMz2 
UZJ7b H3UO40WtR]1 .Wk/hxZ3XIGmzGJPCcs/MgpYssoi8hPCt8b/ 

20 # System timezone 

21 timezone Asia/Shanghai --isUtc 

22 user --name=linuxprobe --password=$6$a9v3InSTNbweIR7D$JegfYWbCdoOokj9sodEccdo. 
ZL F40SH2AZ2ss2R0O5B6LZzZ2A0Vv2K .RjwsBALL2FeKQVgf6400a/tok6J.7GUtO/ --iscrypted --gecos = 
"linuxprobe" 

23 # X Window System configuration information 

24 xconfig --startxonboot 

25 # System bootloader configuration 

26 bootloader --location=mbr --boot-drive=sda 

27 autopart --type=lvm 

28 # Partition clearing information 

29 clearpart --all --initlabel 

30 

31 Spackages 
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32 base 
33 Q@core 


34 Q@desktop-debugging 
35 @dial-up 


36 Qfonts 


37 Ggnome-dqesktoPp 


38 Qguest-agents 


39 guest-dqesktop-agents 


@x11 


Send 


41 
42 
43 Q@print-client 
44 
45 
46 


40 Q@input-methods 
@internet-browser 


@multimedia 
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如 果 觉 得 系统 默认 自 带 的 应 答 文件 参数 较 少 ,不 能 满足 生产 环境 的 需求 , 则 可 以 通过 Yum 


软件 仓库 来 安装 System-config-kickstart 软件 包 。 这 是 一 款 图 形 化 的 Kickstart 应 答 文 件 生成 工 





有 具 ， 可 以 根据 自己 的 需求 生成 自 定义 的 应 答 文 件 ， 然 后 将 生成 的 文件 放 到 /var/ftp/pub 目录 中 


并 将 名 字 修 改 为 


ks.cfg 即 可 。 
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在 按照 上 文 讲解 的 方法 成 功 部 署 各 个 相关 的 服务 程序 后 , 就 可 以 使 用 PXE + Kickstart 无 人 值 
守 安 装 系统 了 。 在 采用 下 面 的 步 又 建立 虚拟 主机 时 ， 一 定 要 把 客户 端的 网 卡 模式 设 定 成 与 服务 端 
一 致 的 “ 仅 主机 模式 ”， 否 则 两 台 设备 无 法 进行 通信 ， 也 就 更 别提 自动 安装 系统 了 。 其 余 硬 件 配 


置 选项 并 没有 强制 怕 























FE 要 求 ， 大 家 可 参考 这 里 的 配置 选项 来 设 定 。 


第 1 步 : 打开 “新 建 虚拟 机 向 导 ” 程 序 , 选择 “典型 (推荐 ) ”配置 类 型 , 然后 单 击 “ 下 


一 步 ”按钮 ， 如 








图 19-5 所 示 。 





新 建 庶 拟 机 向 导 [| 
欢迎 使 用 新 建 虚拟 机 向 导 
您 希望 使 用 什么 类 型 的 配置 ? 
日 典型 (推荐 jj 
Workstation 11.0 


VMWARE 


WORKSTATION 





通过 几 个 简单 的 步 驼 创建 
虚拟 机 。 


自 定义 (高 级 )(C) 


创建 带 有 SCSI 控制 器 类 型 、 虚 拟 磁 盘 类 型 
以 及 与 旧版 VMware 产品 兼容 性 等 高 级 选项 
的 虚拟 机 。 





上 一 步 (8) | [下 一 步 (N) 





> ] [ 取消 ] 














图 19-5 


选择 虚拟 机 的 配置 类 








型 
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使 用 PXE+Kickstart 无 人 值守 安装 服务 


第 2 步 : 将 虚拟 机 操作 系统 的 安装 来 源 设 置 为 “ 稍 后 安装 操作 系统 ”。 这 样 做 的 目的 是 让 
虚拟 机 真正 从 网 络 中 获取 系统 安装 镜像 ， 同 时 也 可 避免 VMware Workstation 虚拟 机 软件 按照 
内 设 的 方法 自行 安装 系统 。 单 击 “ 下 一 步 ” 按 钮 ， 如 网 19-6 所 示 。 

新 建 庶 拟 机 向 导 y wa [em Xe 


安装 客户 机 操作 系统 
虚拟 机 如 同 物 理 机 ， 需 要 操作 系统 。 您 将 如 何 安 装 客户 机 操作 系统 ? 








安装 来 源 : 
了 安装 程序 光盘 (D): 
晶 DVD RW 驱动 器 (D:) 


了 安装 程序 光盘 映像 文件 (so)(M): 
F:\ 铺 像 文 件 \RHEL-server-7.0-x86_64-Linuxprobe.Com.isc 训 览 (R)... 


@ 稍 后 安装 操作 系统 (5)。 


创建 的 虚拟 机 将 包含 一 个 空白 硬盘 。 




















[< 上 = 步 B) | [下 = 步 m)> | | 取消 | 
| 
图 19-6 设置 虚拟 机 操作 系统 的 安装 来 源 


第 3 步 : 将 “客户 机 操作 系统 ”设置 为 “Red Hat Enterprise Linux 7 64 位 ”, 然后 单 击 “ 下 
一 步 ” 按 钮 ， 如 图 19-7 所 示 。 











选择 客户 机 操作 系统 
此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 


客户 机 操作 系统 

© Microsof Windows(W) 
© Linux(L) 

© Novell NetWare(E) 

© Solaris(S) 

© VMware ESX(X) 

口 其 他 (0) 


版 本 (V) 
[Red Hat Enterprise Linux 7 64 位 ~ 








图 19-7 选择 客户 端 主机 的 操作 系统 
第 4 步 : 对 虚拟 机 进行 命名 并 设置 安装 位 置 。 大 家 可 自行 定义 虚拟 机 的 名 称 ， 而 安装 位 
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19.3 自动 部 署 客 户 端 主机 


置 则 尽量 选择 磁盘 空间 较 大 的 分 区 。 然 后 单 击 “ 下 一 步 ”按钮 ， 如 图 19-8 所 示 。 


新 建 庶 拟 机 向 导 





命名 虚拟 机 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 


虚拟 机 名 称 (V): 





RHEL7(pxe+kickstart) 


位 置 (上 ): 








F:\VmwareWorkStation\Linuxprobe 
在 编辑 “> 首选 项 中 可 更 改 默认 位 置 。 


浏览 (R)… 








| < 上- 步 (8) | | 下 一 步 (N) > | | 


取消 | 








19-8 ”命名 虚拟 机 

















设置 虚拟 机 的 安装 位 置 


第 5 步 : 指定 磁盘 容量 。 这 里 将 “最 大 磁盘 大 小 ”设置 为 20GB ， 指 的 是 虚拟 机 系统 能 
够 使 用 的 最 大 上 限 ， 而 不 是 会 被 立即 占 满 , 因此 设置 得 稍微 大 一 些 也 没有 关系 。 然后 单 击 “ 下 


一 步 ” 按 钮 ， 如 图 19-9 所 示 。 


指定 磁盘 容量 
磁盘 大 小 为 多 少 ? 


最 大 磁盘 大 小 (GB)(5): 


了 将 虚拟 磁盘 存 傅 为 单个 文件 (9) 
@ 将 虚拟 磁盘 拆 分 成 多 个 文件 (M) 





虚拟 机 的 硬盘 作为 一 个 或 多 个 文件 存 铺 在 主机 的 物理 磁盘 中 。 这 些 文 件 最 初 很 
小 ' 随 着 您 向 虚拟 机 中 添加 应 用 程序 、 文 件 和 数据 而 逐渐 变 大 。 


20.0 瞩 
针对 Red Hat Enterprise Linux 7 64 位 的 建议 大 小 : 20 GB 


| 可 以 更 轻松 地 在 计算 机 之 间 移 动 虚拟 机 ， 但 可 能 会 降低 大 容量 磁盘 的 
性 能 。 











| < 上 一 步 (B) | | 下 一 步 ID) > | | 


取消 | 

















图 19-9 ”将 磁盘 容量 指定 为 20GB 


第 6 步 : 结束 “新 建 虚拟 机 向 导 程序 ”后 ， 
19-10 中 的 “ 自 定义 硬件 ”按钮 ， 在 弹出 的 如 图 19-11 所 示 的 界面 中 , 把 


先 不 要 着 急 打开 虚拟 机 系统 。 大 家 还 需要 单 击 图 
“网 络 适配器 ”设备 同样 
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使 用 PXE+Kickstart 无 人 值守 安装 服务 


也 设置 为 “ 仅 主机 模式 ”( 这 个 步骤 非常 重要 )， 然 后 单 击 “ 确 定 ” 按 钮 。 


新 建 虐 拟 机 内 导 pe ss 


已 准备 好 创建 虚拟 机 
单 击 " 完 成 “创建 虚拟 机 。 然 后 可 以 安装 Red Hat Enterprise Linux 6 64 位 。 




















将 使 用 下 列 设置 创建 虚拟 机 : 
名 称 : RHEL7(pxe+kickstart) 
位 置 : F:\WVmwareWorkStation\Linuxprobe 
版 本 : Workstation 11.0 
操作 系统 : Red Hat Enterprise Linux 7 64 位 
硬盘 : 20 GB, 拆 分 
内 存 : 2048 MB 
网 络 适 配器 : NAT 
其 他 设备 : CD/DVD, USB 控制 器 , 打印 机 , 声卡 
自 定义 硬件 (9 | 











图 19-10 单 击 虚拟 机 的 “ 自 定义 硬件 ”按钮 























虚拟 机 设置 le 
硕 作 | 过 

设备 摘要 内 存 

i fd 4 te 

口外 理 和 1 3 依 娄 。 

人 此 点 拉 机 的 内 存 (MW): 2048 上 | Me 


64GB 
32G6 
16GB 


8GB 是 最 大 建议 内 存 





4GB (超出 此 大 小 可 能 
268 山 4 帮 生 内 交接 。) 
-es 2 6336MB 
ee 建议 内 存 
0 2048 MB 
128 MB 
si 口 建议 的 最 小 客户 机 操作 系统 内 存 
SU 1024 MB 
16MB 
8MB 
4MB 


也 虚拟 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内 存 。 您 可 以 
在 显示 器 “设置 外面 中 更 改 此 数量 。 











国 添 加 (A).…… 移 除 (R) 

















CC 碎 |][ 聘 |][ 才 ) 
图 19-11 设置 虚拟 机 网 络 适配器 设备 为 仅 主机 模式 


现在 ， 我 们 就 同时 准备 好 了 PXE + Kickstart 无 人 值守 安装 系统 与 虚拟 主机 。 在 生产 环 
境 中 ， 大 家 只 需要 将 配置 妥当 的 服务 器 上 架 ， 接 通 服务 器 和 客户 端 主机 之 间 的 网 线 ， 然 后 
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复习 题 


0 i 接 下 来 就 会 按照 图 19-12 和 图 19-13 那样 ， 开 始 传输 光盘 镜像 文件 并 


了 自动 安装 了 


oo 





由 此 可 见 ， 当 生产 环境 工作 中 有 数 百 台 服务 器 需要 批量 安装 系统 时 ， 使 用 无 人 值守 安装 
系统 的 便捷 性 是 不 言 





| 复习 题 


Press the 


?7.096057] 

?7.097082] 

了 ?了 .0976311] 
Started Show 


一 一 期 间 完 全 无 顷 人 工 干预 ， 直 到 安装 完毕 时 才 需 要 运 





key to begin the installation pro 


[sda]l hssumir 
Plymouth Boot Soc: 


target Path 
[ target Basic Sy 


dracut 

dracut 

dracut t 

100 1073 1 
dracut-initqueue[905] 


dracut-initqueuer905]: 


dracut-initqueuer905] 
1 2166 
dracut-initqueuer9051 
dracut-ini 
100 259M 1 
dracut-initquel 
dracut-ini 

0 0 
dracut-initqu 
dracut-initque 
dracut-initqueue[905] 
dracut-initqueuer905] 

9 0 0 0 
dracut-initqueue[905] 
dracut-initqueue[905] 


Dload 


e[905]: 


: Warning: 


TNETLINK anm: 

4 Total X Re 

Upload 

0 0 1 

yarse—kickstart ERROR: “netuork 
Total Received Xferd 

Dload Total Spent 


Upload 
0 


4 Total 


Dload Uploa 


Dounloading 
Total 4 Received 
Dload Upload Total 

0 0 0 


: curl: 


dracut 
racut pre-nount hoo 


acut pr 


图 


mount hook. 


figuration from the 


mfiguration from the Real Root. 


自动 传输 光盘 镜像 文件 并 安装 系统 





19-12 


"om/ images/product . img” 


去 维 人 员 进 


Time Time Time Current 


1058: : 0 
probe .com’ sing —-device 


Time Time Time Current 


0 


Time Time Time Current 


: 0 
Time Current 


0 


s .img’” failed? 
Time Current 


failed! 


行 简单 的 





CONFIGURATION 


USER SETTINGS 


如 redhat 








EUNUX7.0INSTALLATION 


MANAGE MORE. STRESS LESS. 
RED HAT SATELLITE 








图 19-13 ”自动 安装 





村 系统 ， 无 须 人 工 干 预 











而 喻 的 。 


习 





答 : 需要 有 





村 系统 ， 需 要 用 到 哪些 服务 程序 ? 


有 到 SYSLinux 引导 服务 .DHCP 服务 vsftpd 文件 传输 服务 (或 httpd 网 站 服务 )、 
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使 用 PXE+Kickstart 无 人 值守 安装 服务 
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TFTP 服务 以 及 KickStart 应 答 文 件 。 





. 在 Vymware Workstation 虚拟 机 软件 中 ，DHCP 服务 总 是 分 配 错 误 IP 地 址 的 原因 可 能 是 


什么 ? 
答 : 虚拟 机 的 虚拟 网 络 编辑 器 中 自 带 的 DHCP 服务 可 能 没有 关闭 ， 由 此 产生 了 错误 分 配 
IP 地 址 的 情况 。 




















， 如何 启用 TFTP 服务 ? 











答 : 需要 在 xinetd 服务 程序 的 配置 文件 中 把 disable 参数 改 成 no。 











成功 安 装 SYSLinux 服务 程序 后 ， 可 以 在 哪个 目录 中 找到 引导 文件 ? 





答 : 在 安装 好 SYSLinux 服务 程序 软件 包 后 ， 在 /usr/share/syslinux 目录 中 会 出 现 很 多 引导 
文件 。 





.在 开机 选项 菜单 文件 中 ， 把 default 参数 设置 成 linux 的 作用 是 什么 ? 












































答 : 目的 是 让 系统 自动 开始 安装 过 程 ， 而 不 需要 运 维 人 员 再 去 选择 是 安装 系统 还 是 校 验 镜 
像 文 件 。 














.安装 vsftpd 文件 传输 服务 或 httpd 网 站 服务 的 作用 是 什么 ? 


答 : 把 光盘 镜像 文件 完整 、 顺 利 地 传送 到 客户 端 主机 。 


.Kickstart 应 答 文 件 的 作用 是 什么 ? 





答 : Kickstart 应 答 文 件 中 包含 了 系统 安装 过 程 中 需要 使 用 的 选项 和 参数 信息 ， 客 户 端 主 
机 在 安装 系统 的 过 程 中 可 以 自动 调 取 这 个 应 答 文 件 的 内 容 ， 从 而 彻底 实现 无 人 值守 安装 
系统 。 





第 20 章 | 20 章 


使 用 LNMP 架构 部 嗜 动态 网 站 环境 


本 章 讲解 了 如 下 内 容 : 


源码 包 程序 ; 

LNMP 动态 网 站 架构 ; 
搭建 Discuzl! 论 坛 ; 
选 购 服 务 器 主机 。 


VV vyvyv 








LNMP 动态 网 站 部 署 架 构 是 一 套 由 Linux + Nginx + MySQL + PHP 组 成 的 动态 网 站 系统 
解决 方案 ， 具 有 免费 、 高 效 、 扩 展 性 强 且 资源 消耗 低 等 优良 特性 。 本 章 首先 对 比 了 使 用 源码 
包 安 装 服务 程序 与 使 用 RPM 软件 包 安 装 服务 程序 的 区 别 , 然后 讲解 了 如 何 手工 编译 源码 包 并 
安装 各 个 服务 程序 ， 以 及 如 何 使 用 Discuz! X3.2 版 本 论坛 系统 验证 架构 环境 。 

本 章 是 本 书 的 最 后 一 草 内 容 , 刘 壤 老师 不 仪 希望 各 位 读者 在 学 完 本 书 之 后 , 能够 顺利 找到 满 
意 的 高 薪 工 作 ， 也 希望 您 能 利用 书 中 所 学 知识 搭建 自己 的 博客 或 论坛 系统 ， 并 以 此 为 平台 , 将 自 
己 工作 中 积 携 的 Linux 经 验 以 及 技巧 分 享 给 更 多 人 ， 为 美好 的 开源 世界 贡献 自己 的 力量 。 






























































| 20.1 ”源码 包 程序 





本 书 第 1 章 中 曾经 讲 到 ， 在 RPM ( 红 帽 软件 包 管 理 器 ) 技术 出 现 之 前 ，Linux 系统 运 维 
人 员 只 能 通过 源码 包 的 方式 来 安装 各 种 服务 程序 ， 这 是 一 件 非 常 繁琐 上 且 极 易 消耗 时 间 与 耐心 
9 事情 ; 而 且 在 安 闭 、 升 级 、 缉 载 程序 时 还 要 考虑 到 与 其 他 程序 或 函数 库 的 相互 依赖 关系 ， 
这 就 要 求 运 维 人 员 不 仅 要 掌握 更 多 的 Linux 系统 理论 知识 以 及 高 超 的 实 操 技能 ， 还 需要 有 极 
好 的 耐心 才能 安装 好 一 个 源码 软件 包 。 考虑 到 本 书 的 读者 都 是 刚 入 门 或 准备 入 门 的 运 维新 人 ， 
因为 本 书 在 前 面 的 章节 中 一 直 都 是 采用 Yum 软件 仓库 的 方式 来 安装 服务 程序 。 但 是 ,现在 依 
然 有 很 多 软件 程序 只 有 源码 包 的 形式 ， 如 果 我 们 只 会 使 用 Yum 软件 仓库 的 方式 来 安装 程序 ， 
则 面 对 这 些 只 有 源码 包 的 软件 程序 时 ， 将 充满 无 力 感 ， 要 么 需要 等 到 第 三 方 组 织 将 这 些 软件 
程序 编写 成 RPM 软件 包 之 后 再 行使 用 , 要 么 就 只 能 寻找 相关 软件 程序 的 替代 品 了 ( 而 且 替 代 
软件 还 必须 具备 RPM 软件 包 的 形式 )。 由 此 可 见 , 如 果 运 维 人 员 只 会 使 用 Yum 软件 仓库 来 安 
装 服务 程序 ， 将 会 形成 知识 短 板 ， 对 日 后 的 运 维 工作 带 来 不 利 。 

本 着 不 能 让 自己 的 读者 在 运 维 工作 中 吃亏 的 想法 ， 刘 道 老 师 接 下 来 会 详细 讲解 如 何 使 用 
源码 包 的 方式 来 安装 服务 程序 。 

其 实 ， 使 用 源码 包 来 安装 服务 程序 具有 两 个 优势 。 





IN 



















































































使 用 LNMP 架构 部 署 动态 网 站 环境 


> 源码 包 的 可 移植 性 非常 好 ， 几 乎 可 以 在 任何 Linux 系统 中 安装 使 用 ， 而 RPM 软件 包 
是 针对 特定 系统 和 架构 编写 的 指令 集 , 必须 严格 地 符合 执行 环境 才能 顺利 安装 ( 即 只 
会 去 “生硬 地 ”安装 服务 程序 )。 
> 使 用 源码 包 安装 服务 程序 时 会 有 一 个 编译 过 程 , 因此 可 以 更 好 地 适应 安装 主机 的 系统 
环境 ， 运 行 效率 和 优化 程度 都 会 强 于 使 用 RPM 软件 包 安 装 的 服务 程序 。 也 就 是 说 ， 
可 以 将 采用 源码 包 安装 服务 程序 的 方式 看 作 是 针对 系统 的 “量体裁衣 ”。 
一 般 来 讲 ， 在 安装 软件 时 ， 如 果 能 通过 Yum 软件 仓库 来 安装 ， 就 用 Yum 方式 ; 反之 则 
去 寻找 合适 的 RPM 软件 包 来 安装 ; 如 果 是 在 没有 资源 可 用 ， 那 就 只 能 使 用 源码 包 来 安装 了 。 
使 用 源码 包 安装 服务 程序 的 过 程 看 似 复杂 , 其 实在 归纳 汇总 后 只 需要 4 一 5 个 步骤 即 可 完 
成 安装 。 刘 遗 老 师 接 下 来 会 对 每 一 个 步 又 进行 详解 。 


需要 提前 说 明 的 是 ， 在 使 用 源码 包 安 装 程序 时 ， 会 输出 大 量 的 过 程 信息 ， 这 些 信 
息 的 意义 并 不 大 ， 因 此 本 章 会 省 略 这 部 分 输出 信息 而 不 作 特 殊 备注 ， 请 大 家 在 具体 操 
作 时 以 实际 为 准 。 


































































































第 1 步 : 下 载 及 解压 源码 包 文件 。 为 了 方便 在 网 络 中 传输 , 源码 包 文件 通常 会 在 归档 后 使 用 
gzip 或 bzip2 等 格式 进行 压缩 ， 因 此 一 般 会 具有 .tar.gz 与 .tarbz2 的 后 弘 。 要 想 使 用 源码 包 安 次 服 
务 程序 ， 必 须 先 把 里 面 的 内 容 解压 出 来 ， 然 后 再 切换 到 源码 包 文件 的 目录 中 : 


























[root@linuxprobe ~]# tar xzvf FileName.tar.gz 





[root@linuxprobe ~]# cd FileDirectory 











第 2 步 : 编译 源码 包 代 码 。 在 正式 使 用 源码 包 安 装 服务 程序 之 前 ， 还 需要 使 用 编译 脚本 针对 
当前 系统 进行 一 系列 的 评估 工作 , 包括 对 源码 包 文件 、 软 件 之 间 及 函数 库 之 间 的 依赖 和 关系、 编译 需 、 
汇编 器 及 连接 器 进行 检查 。 我 们 还 可 以 根据 需要 来 追加 -prefix 参数 , 以 指定 稍 后 源码 包 程序 的 安装 
路 径 ， 从 而 对 服务 程序 的 安装 过 程 更 加 可 控 。 当 编译 工作 结束 后 ， 如 果 系统 环境 符合 安装 要 求 ， 一 
般 会 自动 在 当前 目录 下 生成 一 个 Makefile 安装 文件 。 

































































[root@linuxprobe ~]# ./configure --prefix=/usr/local/program 





第 3 步 : 生成 二 进 制 安装 程序 。 刚 刚 生 成 的 Makefile 文件 中 会 保存 有 关系 统 环境 、 软 件 
依赖 关系 和 安装 规则 等 内 容 ， 接 下 来 便 可 以 使 用 make 命令 来 根据 Makefile 文件 内 容 提供 的 
合适 规则 编译 生成 出 真正 可 供用 户 安装 服务 程序 的 二 进 制 可 执行 文件 了 。 

















[root@linuxprobe ~]# make 






































第 4 步 : 运行 二 进 制 的 服务 程序 安装 包 。 由 于 不 需要 再 检查 系统 环境 ， 也 不 需要 再 编译 
代码 ， 因 此 运行 二 进 制 的 服务 程序 安装 包 应 该 是 速度 最 快 的 步骤。 如 果 在 源码 包 编 译 阶 段 使 
用 了 --prefix 参数 ， 那 么 此 时 服务 程序 就 会 被 安装 到 那个 目录 ， 如 果 没 有 自行 使 用 参数 定义 目 
录 的 话 ， 一 般 会 被 默认 安装 到 /usr/local/bin 目录 中 。 




































































[root@linuxprobe ~]# make install 





第 5 步 : 清理 源码 包 临 时 文件 。 由 于 在 安装 服务 程序 的 过 程 中 进行 了 代码 编译 的 工作 ， 
因此 在 安装 后 目录 中 会 遗留 下 很 多 临时 垃圾 文件 ， 本 着 尽量 不 要 浪费 磁盘 存储 空间 的 原则 ， 
可 以 使 用 make clean 命令 对 临时 文件 进行 彻底 的 清理 工作 。 
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[root@linuxprobe ~]# make clean 


佑 计 有 读者 会 有 疑问 ,为 什么 通常 是 安装 一 个 服务 程序 ， 源码 包 的 编译 工作 ( configure ) 
与 生成 二 进 制 文件 的 工作 ( make ) 会 使 用 这 么 长 的 时 间 ， 而 采用 RPM 软件 包 安 装 就 特别 有 
效率 呢 ? 其 实 原因 很 简单 , 在 RHCA 认证 的 RH401 考试 中 , 会 要 求 考生 写 一 个 RPM 软件 包 。 
刘 肖 老师 会 在 本 书 的 进 阶 篇 中 讲 到 , 其 实 RPM 软件 包 就 是 把 软件 的 源码 包 和 一 个 针对 特定 系 
统 、 架 构 、 环 境 编写 的 安装 规定 打包 成 一 起 的 指令 集 ， 因 此 为 了 让 用 户 都 能 使 用 这 个 软件 包 
来 安装 程序 ， 通常 一 个 软件 程序 会 发 布 多 种 格式 的 RPM 软件 包 (例如 i386、x86_64 等 架构 ) 
来 让 用 户 选 择 。 而 源码 包 的 软件 作者 肯定 希望 自己 的 软件 能 够 被 安装 到 更 多 的 系统 上 面 ， 能 
够 被 更 多 的 用 户 所 了 解 、 使 用 ， 因 此 便 会 在 编译 阶段 (configure ) 来 检查 用 户 当 前 系统 的 情 
况 ， 然 后 制定 出 一 份 可 行 的 安装 方案 ， 所 以 会 占用 很 多 的 系统 资源 ， 需 要 更 长 的 等 待 时 间 。 































































































20.2 LNMP 动态 网 站 架构 








LNMP 动态 网 站 部 署 架构 是 一 套 由 Linux + Nginx + MySQL + PHP 组 成 的 动态 网 站 系统 
解决 方案 ( 其 logo 见 图 20-1 )。LNMP 中 的 字母 LL 是 Linux 系统 的 意思 ， 不 仅 可 以 是 RHEL、 
CentOS 、Fedora , 还 可 以 是 Debian .Ubuntu 等 系统 。 本 书 的 配套 站 点 http:/www.linuxprobe.com 
就 是 基于 LNMP 部 署 出 来 的 ， 目 前 的 运行 一 直 很 稳定 ， 访 问 速度 也 很 快 。 


者 G 训 省 
A pe、 


图 20-1 LNMP 动态 网 站 部 署 架构 的 Logo 

在 使 用 源码 包 安 装 服务 程序 之 前 ， 首 先 要 让 安装 主机 具备 编译 程序 源码 的 环境 ， 他 需要 
具备 C 语言 、C++ 语 言 、Perl 语言 的 编译 器 ， 以 及 各 种 常见 的 编译 支持 函数 库 程序 。 因 此 请 
先 配 置 妥当 Yum 软件 仓库 ， 然 后 把 下 面 列 出 的 这 些 软件 包 都 统统 安装 上 : 






































[root@linuxprobe ~]# yum install -~y apr* autoconf automake bison bzip2 bzip2* 
compat* cpp curl curl-devel fontconfig fontconfig-devel freetype freetype* freetype-— 
devel gcc gcc-c++ gd gettext gettext-devel glibc kernel kernel-headers keyutils 
keyutils-libs-devel krb5-devel libcom err-devel libpng libpng-devel libjpeg* Libsepol- 
devel libselinux-devel libstdct+-devel libtool* libgomp libxml2 libxml2-devel libxpm* 
libtifflibtiff* make mpfr ncurses* ntp openssl openssl-devel patch pcre-devel perl 
php-common php-gd policycoreutils telnet t1llib tl1llib* nasm nasm* wget zlib-devel 
Loaded plugins: langpacks, product-id, subscription-manager 

This system is not registered to Red Hat Subscription Management. You can use 


subscription-manager to register. 


de 省 略 部 分 安装 过 程 .…………. 

Installing: 

apr x86_64 1 B=-3.817 rhel7 103 k 
apr-devel x86_64 1.4.8-3.el17 rhel7 188 k 
apr-util x86_64 .S22=6:817 rhel7 92 k 
apr-util-devel x86_64 1.5.2-6.el17 rhel7 76 k 
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autoconf 


automake 


bison 


bzip2-devel 


compat-dapl 


compat-db-headers 
compat-db47 
Compat-gcc-44 


Compat-gcc-44-ct++ 


compat-glibc 


compat-glibc-headers 


compat-libcapl 
compat—-libf2c-34 


compat-libgfortran-41 


compat—libtiff3 
compat-openldap 


cpp 


fontconfig-devel 


freetype-devel 


gcc 


gcc-ct++ 


Complete! 








noarch 2.69-11.e17 rhel7 30 二 未 
noarch 1.13.4-3.el7 rhel7 679 k 
X86 64 2.7-4.el17 rhel7 578 k 
x86_64 LQr0~125el7 rhel7 218 k 
x86_64 1:1.2.19-3.el7 rhel7 109 k 
noarch 4.7.25-27.el17 rhel7 48 k 
X86 64 4.7.25-27.e17 rhel7 795 k 
X86 64 4.4.7-8.el17 rhel7 10 M 
X86 64 4.4.7-8.el17 rhel7 6.3 M 
X86 64 放生 rhel7 1.2M 
x86_64 1:2.12-4.el17 rhel7 452 k 
X86 64 Tiel0—7 .81 rhel7 19 k 
x86_64 3.4.6-32.el17 rhel7 shri 
x86_64 4.1.2-44.e17 rhel7 142 k 
X86 64 3.9.4-11.e17 rhel7 135 k 
x86_64 i Re rhel7 174 k 
X86 64 4.8.2=16,.817 rhel7 5.9 M 
X86 64 2310.95~7,.@.7 rhel7 28 k 
x86_64 2.4.11-9.el7 rhel7 355 k 
X86 64 4.8.2-16.e17 rhel7 16 M 
x86_64 4.8.2-16.el17 rhel7 7.1 M 











刘 道 老师 已 经 把 安装 LNMP 动态 网 站 部 署 架 构 所 需 的 16 个 软件 源码 包 和 1 个 用 于 检查 
效果 的 论坛 网 站 系统 软件 包 上 传 到 与 本 书 配套 的 站 点 服务 咒 上 。 大 家 可 以 在 Windows 系统 中 





下 载 后 通过 ssh 服务 传送 到 打算 部 署 LNMP 
Linux 服务 器 中 使 用 wget 命令 下 载 这 些 源码 
装 的 软件 包 存 放 在 /usr/local/src 目录 中 : 


ME 
女 





动态 网 站 架构 的 Linux 服务 器 中 ， 也 可 以 直接 在 
包 文 件 。 根 据 第 6 章 讲 解 的 FHS 协议 , 建议 把 要 














zootQ@1 
root@1 
root@1 
root@1 
root@1 
root@1 
root@1 
root@1 
root@1 
root@1 
root@1 
root@1 
root@1 
root@1 
root@1 
root@1 





root@1 


inuxprobe 
inuxprobe 
inuxprobe 
inuxprobe 
inuxprobe 
inuxprobe 
inuxprobe 
inuxprobe 
inuxprobe 
inuxprobe 
inuxprobe 
inuxprobe 
inuxprobe 
inuxprobe 
inuxprobe 
inuxprobe 


inuxprobe 


root@linuxprobe ~] 


src 
src] 
src 
src 
src 
Bro] 
src 
src 
sre 
src 
src 
src 
src 
src 
src 
src 


SIC 


ZLID=T:208 barsdz 





# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 


cd /usr/local/src 
wget http://www.linuxprobe.com/Software/cmake-2.8.11.2.tar.gz 
wget http://www.linuxprobe.com/Software/Discuz_X3.2_SC_ GBK.zip 
nt 
http 
http 
http: 
http://www.linuxprobe.com/Software/libpng-1.6.12.tar.gz 
http: 
http 
wget http 
wget http 
wget http 
wget http 
wget http 
wget http://www. 
wget http 
wget http://www. 


wget //www.linuxprobe.com/Software/freetype-2.5.3.tar.gz 


wget ://www.linuxprobe.com/Software/jpegsrc.v9a.tar.gz 
wget ://www.linuxprobe.com/Software/libgd-2.1.0.tar.gz 
wget //wwuw.linuxprobe.com/Software/libmcrypt-2.5.8.tar.gz 
wget 
wget //wwuw.linuxprobe.com/Software/libvpx-v1.3.0.tar.bz2 
wget ://www.linuxprobe.com/Software/mysql-5.6.19.tar.gz 
://www.linuxprobe.com/Software/nginx-1.6.0.tar.gz 
://www.linuxprobe.com/Software/openssl-1.0.1h.tar.gz 
://www.linuxprobe.com/Software/php-5.5.14.tar.gz 
://www.linuxprobe.com/Software/pcre-8.35.tar.gz 

com/Software/t1lib-5.1.2.tar.gz 
com/Software/tiff-4.0.3.tar.gz 


com/Software/yasm-1.2.0.tar.gz 


://www.1Linuxprobe . 
linuxprobe. 
://www.1Linuxprobe . 


linuxprobe.com/Software/zlib-1.2.8.tar.gz 


root@linuxprobe src]# ls 


Libmerypt -2.98 bar oz ,PCre-8.350 tarndz 


cmake-2.8.11.2.tar.gz 
Discuz X3.2 SC GBK.zip 
freetype-2.5.3.tar.gz 
jpegsrc.v9a.tar.gz 
libgd-2.1.0.tar.gz 


libpng-1.6.12.tar.gz 
libvpx-v1l.3.0.tar.bz2 
mysdql~5 6 19.tar.gz 
nginx-1.6.0.tar.gz 
openssl-1.0.1h.tar.gz 


php-5.5.:14targz 
t1l1ib-5.1.2.tar.gz 
tiff—40 6.3.tardz 
Yasm=1; .20.bar gz 
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CMake 是 Linux 系统 中 一 坎 常 用 的 编译 工具 。 要 想 通 过 源码 包 安 装 服务 程序 ， 就 一 定 要 
严格 遵守 上 面 总 结 的 安装 步骤 一 一 下 载 及 解压 源码 包 文件 、 编 译 源码 包 代 码 、 生 成 二 进 制 安 
装 程 序 、 运 行 二 进 制 的 服务 程序 安装 包 。 接 下 来 在 解压 、 编 译 各 个 软件 包 源 码 程序 时 ， 都 会 
生成 大 量 的 输出 信息 ， 下 文中 将 其 省 略 ， 请 读者 以 实际 操作 为 准 。 






























































[root@linuxprobe src]# tar xzvf cmake-2.8.11.2.tar.gz 
[root@linuxprobe src]# cd cmake-2.8.11.2/ 
[root@linuxprobe cmake-2.8.11.2]# ./configure 
[root@linuxprobe cmake-2.8.11.2]# make 
[root@linuxprobe cmake-2.8.11.2]# make install 





20.2.1 配置 MySQL 服务 


本 书 在 第 18 章 讲解 过 MySQL 和 MariaDB 数据 库 管 理 系 统 之 间 的 因缘 和 特性 ,也 狠 狠 地 
夸奖 了 MariaDB 数据 库 ， 但 是 MySQL 数据 库 当 前 依然 是 生产 环境 中 最 常 使 用 的 关系 型 数据 
库 管理 系统 之 一 ， 坐 拥 极 大 的 市 场 份额 ， 并 且 已 经 通过 十 几 年 不 断 的 发 展 向 业界 证 明了 自身 
的 稳定 性 和 安全 性 。 男 外 ,虽然 第 18 章 已 经 讲解 了 基本 的 数据 库 管 理 知识 , 但 是 为 了 进一步 
帮助 大 家 夯实 基础 ， 本 章 依然 在 这 里 整合 了 MySQL 数据库 内 容 ， 使 大 家 在 温 故 的 同时 可 以 
知 新 。 

在 使 用 Yum 软件 仓库 安装 服务 程序 时 ， 系 统 会 自动 根据 RPM 软件 包 中 的 指令 集 完整 软 
件 配置 等 工作 。 但 是 一 旦 选择 使 用 源码 包 的 方式 来 安装 ， 这 一 切 就 需要 自己 来 完成 了 。 针 对 
MySQL 数据 库 来 讲 ， 我 们 需要 在 系统 中 创建 一 个 名 为 mysql 的 用 户 ， 专 门 用 于 负责 运行 
MySQL 数据 库 。 请 记得 要 把 这 类 账户 的 Bash 终端 设置 成 nologin 解释 厦 ， 避免 黑客 通过 该 用 
户 登录 到 服务 器 中 ， 从 而 提高 系统 安全 性 。 

























































































[root@linuxprobe cmake-2.8.11.2]# cd .. 
[root@linuxprobe src]# useradd mysql -s /sbin/nologin 























创建 一 个 用 于 保存 MySQL 数据 库 程 序 和 数据 库 文件 的 目录 ， 并 把 该 目录 的 所 有 者 和 所 
属 组 身份 修改 为 mysql。 其 中 ，/usr/local/mysql 是 用 于 保存 MySQL 数据 库 服务 程序 的 目录 ， 
/usr/local/mysql/var 则 是 用 于 保存 真实 数据 库 文件 的 目录 。 




















[root@linuxprobe src]# mkdir -P /usr/local/mysql/var 
[root@linuxprobe src]# chown -Rf mysql:mysql /usr/local/mysql 








接 下 来 解压 、 编 译 、 安 装 MySQL 数据 库 服务 程序 。 在 编译 数据 库 时 使 用 的 是 cmake 命 
令 ， 其 中 ，-DCMAKE INSTALL PREFIX 参数 用 于 定义 数据 库 服务 程序 的 保存 目录 ， 
-DMYSQL DATADIR 参数 用 于 定义 真实 数据 库 文件 的 目录 ，-DSYSCONFDIR 则 是 定义 
MySQL 数据 库 配置 文件 的 保存 目录 。 由 于 MySQL 数据 库 服务 程序 比较 大 ， 因 此 编译 的 过 程 
比较 漫长 ， 在 此 期 间 可 以 稍微 休息 一 下 。 













































































[root@linuxprobe src]# tar xzvf mysql-5.6.19.tar.gz 

[root@linuxprobe src]# cd mysql-5.6.19/ 

[root@linuxprobe mysql-5.6.19]# cmake . -DCMAKE INSTALL PREFIX=/usr/local/mysql-— 
DMYSQL DATADIR=/usr/local/mysql/var -DSYSCONFDIR=/etc 

[root@linuxprobe mysql-5.6.19]# make 

[root@linuxprobe mysql-5.6.19]# make install 





367 


使 用 LNMP 架构 部 署 动态 网 站 环境 











为 了 让 MySQL 数据 库 程 序 正 常 运转 起 来 , 需要 先 删除 /etc 目录 中 的 默认 配置 文件 , 然后 
在 MySQL 数据 库 程序 的 保存 目录 scripts 内 找到 一 个 名 为 mysql_install_db 的 脚本 程序 ， 执 
行 这 个 脚本 程序 并 使 用 --user 参数 指定 MySQL 服务 的 对 应 账号 名 称 (在 前 面 步 又 已 经 创 
建 )， 使 用 --basedir 参数 指定 MySQL 服务 程序 的 保存 目录 ， 使 用 --datadir 参数 指定 MySQL 
真实 数据 库 的 文件 保存 目录 , 这 样 即 可 生成 系统 数据 库 文件 , 也 会 生成 出 新 的 MySQL 服务 
配置 文件 。 




















[root@linuxprobe mysql-5.6.19]# rm -rf /etc/my.cnf 

[root@linuxprobe mysql-5.6.19]# cd /usr/local/mysql 

[root@linuxprobe mysql]# ./scripts/mysql install db --user=mysql --basedir=/usr/ 
local/mysql --datadir=/usr/local/mysql/var 


把 系统 新 生成 的 MySQL 数据 库 配 置 文件 链接 到 /etc 目录 中 , 然后 把 程序 目录 中 的 开机 程 
序 文 件 复 制 到 /etc/rc.d/init.d 目录 中 ， 以 便 通 过 service 命令 来 管理 MySQL 数据 库 服 务 程序 。 
记得 把 数据 库 脚本 文件 的 权限 修改 成 755 以 便于 让 用 户 有 执行 该 脚本 的 权限 : 


root@linuxprobe mysql]# ln -s my.cnf /etc/my.cnf 









































root@linuxprobe mysql]# cp ./support-files/mysql.server /etc/rc.d/init.d/mysqld 
root@linuxprobe mysql]# chmod 755 /etc/rc.d/init.d/mysqld 





编辑 刚 复制 的 MySQL 数据 库 脚本 文件 ， 把 第 46、47 行 的 basedir 与 datadir 参数 分 别 修 
改 为 MySQL 数据 库 程序 的 保存 目录 和 真实 数据 库 的 文件 内 容 。 


root@linuxprobe mysql]# vim /etc/rc.d/init.d/mysqld 




















ee 省 略 部 分 输出 信息 
39 # 
40 # If you want to affect other MySQL variables, you should make your changes 
41 # in the /etc/my.cnf, ~/.my.cnf or other MySQL configuration files. 
42 
43 # If you change base dir, you must also change datadir. These may get 
44 # overwritten by settings in the MySQL configuration files. 
45 
46 basedir=/usr/local/mysql 
47 datadir=/usr/local/mysql/var 
48 








二 省 略 部 分 输出 信息 























配置 好 脚本 文件 后 便 可 以 用 service 命令 启动 mysqld 数据 库 服 务 了 。mysqld 是 MySQL 
数据 库 程 序 的 服务 名 称 ， 注 意 不 要 写 错 。 顺 带 再 使 用 chkconfig 命令 把 mysqld 服务 程序 加 入 
到 开机 启动 项 中 。 


















































[root@Linuxprobe mysql]# service mysqld start 
Starting MySQL. SUCCESS! 
[root@linuxprobe mysqll]# chkconfig mysqld on 





MySQL 数据 库 程序 自 带 了 许多 命令 ,但 是 Bash 终端 的 PATH 变量 并 不 会 包含 这 些 命令 
所 存放 的 目录 ， 因 此 我 们 也 无 法 顺利 地 对 MySQL 数据 库 进行 初始 化 ， 也 就 不 能 使 用 MySQL 
数据 库 自 带 的 命令 了 。 想 要 把 命令 所 保存 的 目录 永久 性 地 定义 到 PATH 变量 中 ， 需 要 编辑 
/etc/profile 文件 并 写 和 人 追加 的 命令 目录 , 这 样 当 物 理 设备 在 下 一 次 重启 时 就 会 永久 生效 了 。 如 
果 不 想 通 过 重启 设备 的 方式 来 生效 , 也 可 以 使 用 source 命令 加 载 一 下 /ect/profile 文件 , 此 时 新 
的 PATH 变量 也 可 以 立即 生效 了 。 
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[root@linuxprobe mysdql]# vim /etc/profile 


i 省 略 部 分 输出 信息 








65 for i in /etc/profile.d/*.sh ; do 

66 if [ -r "$i" ]; then 

67 if [ "S$S{-#*iln != "$-"™ ]; then 

68. “于 

69 else 

了 70 » VSi™ S/dev/rnull 

二 扩 书 

2 

73 done 

74 export PATH=$PATH: /usr/local/mysql/bin 
75 unset i 

76 unset -f pathmunge 

[root@linuxprobe mysql]# source /etc/profile 


MySQL 数据 库 服务 程序 还 会 调用 到 一 些 程序 文件 和 函数 库 文件 。 由 于 当前 是 通过 源码 包 
方式 安装 MySQL 数据 库 ， 因 此 现在 也 必须 以 手动 方式 把 这 些 文 件 链接 过 来 。 
[root@linuxprobe mysql]# mkdir /var/lib/mysql 


# ln -s /usr/local/mysql/lib/mysql /usr/lib/mysql 
# ln -s /tmp/mysql.sock /var/lib/mysql/mysql.sock 












































[root@linuxprobe mysql 
[root@linuxprobe mysql 
[root@linuxprobe mysql]# ln -s /usr/local/mysql/include/mysql /usr/include/mysql 


现在 ，MySQL 数据 库 服 务 程序 已 经 启动 ， 调 用 的 各 个 函数 文件 已 经 就 位 ，PATH 环境 变 
量 中 也 加 入 了 MySQL 数据 库 命令 的 所 在 目录 。 接 下 来 准备 对 MySQL 数据 库 进行 初始 化 ,这 
个 初始 化 的 配置 过 程 与 MariaDB 数据 库 是 一 样 的 ， 只 是 最 后 变 成 了 Thanks for using MySQL! 


] 
] 
] 
































[root@linuxprobe mysql]# mysql secure installation 
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MySOQL 
SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY! 
In order to log into MySQL to secure it, we'll need the current 
password for the root user. If you've just installed MySQL, and 
you haven't set the root password yet, the password will be blank, 
so you should just press enter here. 
Enter current password for root (enter for none) : 此 处 只 需 按 下 回 车 键 
OK, successfully used password, moving on... 
Setting the root password ensures that nobody can log into the MySQL 
root user without the proper authorisation. 
Set root password? [Y/n] Y 0 root 管理 员 设 置 数 据 库 的 密码 ) 
New password: 输入 要 为 root 管理 员 设 置 的 数据 库 密码 
Re-enter new password: 再 输入 一 次 密码 
Password updated successfully! 
Reloading privilege tables.. 
Success! 
By default, a MySQL installation has an anonymous user, allowing anyone 
to log into MySQL without having to have a user account created for 
them. This is intended only for testing, and to make the installation 
go a bit smoother. You should remove them before moving into a 
production environment. 
Remove anonymous users? [Y/n] y ( 删除 匿名 账户 ) 
Success! 
Normally, root should only be allowed to connect from 'localhost'. This 
ensures that someone cannot guess at the root password from the network. 


369 


使 用 LNMP 架构 部 署 动态 网 站 环境 


Disallow root login remotely? [Y/n] y ( 禁止 root 管理 员 从 远程 登录 ) 
. Success! 
By default, MySQL comes with a database named 'test' that anyone can 
access. This is also intended only for testing, and should be removed 
before moving into a production environment. 
Remove test database and access to it? [Y/n] y (删除 test 数据 库 并 取消 对 其 的 访问 权限 ) 
— Dropping test database... 
. Success! 
— Removing privileges on test database... 
. Success! 
Reloading the privilege tables will ensure that all changes made so far 
will take effect immediately. 
Reload privilege tables now? [Y/n] y (刷新 授权 表 ， 让 初始 化 后 的 设 定 立 即 生效 ) 
. Success! 
All done! If you've completed all of the above steps, your MySQL 
installation should now be secure. 
Thanks for using MySQL! 
Cleaning up... 





20.2.2 配置 Nginx 服务 








Nsginx 是 一 款 相当 优秀 的 用 于 部 署 动态 网 站 的 轻 量 级 服务 程序 ， 它 最 初 是 为 俄罗斯 门户 
站 点 而 开发 的 ， 因 其 稳定 性 、 功 能 丰富 、 占 用 内 存 少 且 并 发 能 力 强 而 备 受 用 户 的 信赖 。 目 前 
内 诸如 新 浪 、 网 易 、 腾 讯 等 门户 站 点 均 已 使 用 了 此 服务 。 

Nginx 服务 程序 的 稳定 性 源 自 于 采用 了 分 阶段 的 资源 分 配 技术 ， 降低 了 CPU 与 内 存 的 占 
用 率 ， 所 以 使 用 Nginx 程序 部 署 的 动态 网 站 环境 不 仅 十 分 稳定 、 高 效 ， 而 且 消耗 的 系统 资源 也 
很 少 。 此 外 , Nginx 具备 的 模块 数量 与 Apache 具备 的 模块 数量 几乎 相同 ， 而 且 现在 已 经 完全 支 
持 proxy 、rewrite 、mod fcgi、ssl 、vhosts 等 常用 模块 。 更 重要 的 是 ，Nginx 还 支持 热 部 署 技术 ， 
可 以 7x24 不 间断 提供 服务 ， 还 可 以 在 不 暂停 服务 的 情况 下 直接 对 Nginx 服务 程序 进行 升级 。 

坦白 来 讲 ， 虽然 Nginx 程序 的 代码 质量 非常 高 ， 代 码 很 规范 ， 技 术 成 熟 ， 模 块 扩展 也 很 
容易 ， 但 依然 存在 不 少 问 题 ， 比 如 是 由 俄罗斯 人 开发 的 ， 所 以 在 资料 文档 方面 还 并 不 完善 ， 
中 文 资料 的 质量 更 是 鱼龙混杂 。 但 是 Nginx 服务 程序 在 近年 来 增长 势头 迅猛 ， 相 信 会 在 轻 量 
级 Web 服务 器 市 场 具 有 不 错 的 未 来 。 

在 正式 安装 Nginx 服务 程序 之 前 ， 我 们 还 需要 为 其 解决 相关 的 软件 依赖 关系 ， 例 如 用 于 提 
供 Perl 语言 兼容 的 正则 表达 式 库 的 软件 包 pcre， 就 是 Nginx 服务 程序 用 于 实现 伪 静 态 功 能 必 不 
可 少 的 依赖 包 。 下 面 来 解压 、 编 译 、 生 成 、 安 装 Nginx 服务 程序 的 源码 文件 : 








































































































root@linuxprobe ~]# cd /usr/local/src 

root@linuxprobe src]# tar xzvf pcre-8.35.tar.gz 

root@linuxprobe src]# cd pcre-8.35 

root@linuxprobe pcre-8.35]# ./configure --prefix=/usr/local/pcre 
root@linuxprobe pcre-8.35]# make 





root@linuxprobe pcre-8.35]# make install 

















openssl 软件 包 是 用 于 提供 网 站 加 密 证 书 服务 的 程序 文件 ,在 安装 该 程序 时 需要 自 定义 服 
务 程序 的 安装 目录 ， 以 便于 稍 后 调用 它们 的 时 候 更 可 控 。 


[root@linuxprobe pcre-8.35]# cd /usr/local/src 
[root@linuxprobe src]# 七 ar xzvf openssl-1.0.1h.tar.gz 
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root@linuxprobe src]# cd openss1-1.0.1P 

root@linuxprobe openssl-1.0.1h]# ./config -~--prefix=/usr/local/openssl 
root@linuxprobe openssl-1.0.1h]# make 

root@linuxprobe openssl-1.0.1h]# make install 














[2 





要 像 前 面 的 操作 那样 ， 将 这 个 目录 添加 到 PATH 环境 变量 中 ， 并 写 和 到 配置 文 伯 
行 source 命令 以 便 让 新 的 PATH 环境 变量 内 容 可 以 立即 生效 : 


中 ， 


上 于 


取 


openssl 软件 包 安 装 后 默认 会 在 /usr/local/openssl/bin 目录 中 提供 很 多 的 可 用 命令 ， 我 们 需 





后 执 








root@linuxprobe pcre-8.35]# vim /etc/profile 


a 省 略 部 分 输出 信息 








65 for 1 in /etc/profile.d/*-sh ; do6 

G66 Tf A SE Elen 

67 if [ "“${-#*i}" != "$-" ]; then 

68 "SEE 

69 else 

70 . "$i™ >/dev/null 

A 

72: 于 二 

73 done 

74 export PATH=$PATH:/usr/local/mysql/bin:/usr/local/openssl/bin 
75 unset i 

76 unset -f pathmunge 

[root@linuxprobe pcre-8.35]# source /etc/profile 


























zlib 软件 包 是 用 于 提供 压缩 功能 的 函数 库 文件 。 其 实 Nginx 服务 程序 调用 的 这 些 服务 程 





序 无 需 这 入 了 解 ， 只 要 大 致 了 解 其 作用 就 已 经 足够 了 : 








mm 





[root@linuxprobe pcre-8.35]# cd /usr/local/src 

[root@linuxprobe src]# tar xzvf zlib-l1.2.8.tar.gz 

[root@linuxprobe srcl]# cd zlib-1.2.8 

[root@linuxprobe zlib-1.2.8]# ./configure --prefix=/usr/local/zlib 
[root@linuxprobe zlib-1.2.8]# make 

[root@linuxprobe zlib-1.2.8]# make install 








在 安装 部 署 好 具有 依赖 关系 的 软件 包 之 后 ， 创 建 一 个 用 于 执行 Nginx 服务 程序 的 账户 。 


账户 名 称 可 以 自 定 义 ， 但 一 定 别 忘 记 ， 因 为 在 后 续 需 要 调用 : 





[root@linuxprobe zlib-1.2.8]# cd .. 
[root@linuxprobe src]# useradd www -s /sbin/nologin 








在 使 用 命令 编译 Nginx 服务 程序 时 ,需要 设置 特别 多 的 参数 ， 其 中 ，--prefix 参数 用 于 定 
义 服务 程序 稍 后 安装 到 的 位 置 ，--user 与 --group 参数 用 于 指定 执行 Nginx 服务 程序 的 用 户 名 








和 用 户 组 。 在 使 用 参数 调用 openssl、zlib、pcre 软件 包 时 ,请 写 出 软件 源码 包 的 解压 
不 是 程序 的 安装 路 径 : 





已 


路 径 ， 而 





[root@linuxprobe src]# tar xzvf nginx-1.6.0.tar.gz 
[root@linuxprobe src]# cd nginx-1.6.0/ 


[root@linuxprobe nginx-1.6.0]# ./configure --prefix=/usr/local/nginx --without 一 


http memcached module --user=www --group=www —--with-http stub status module -with-— 


http ssl module --with-http gzip static module --with-openssl=/usr/local/src/openssl1— 
1.0.1h --with-zlib=/usr/local/src/zlib-1.2.8 --with-pcre=/usr/local/src/pcre-8.35 
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环境 


[root@linuxprobe nginx-1.6.0]# make 


[root@linuxprobe nginx-1.6.0]# make install 





要 想 启 动 Nginx 服务 程序 以 及 将 其 加 入 到 开机 启动 项 中 , 也 需要 有 脚本 文件 。 可 惜 的 是 ， 























在 安装 完 Nginx 软件 包 之 后 
了 一 份 可 用 的 局 动 脚 本 文件 ， 





著 认 并 没有 为 用 户 提供 脚本 文件 ， 因 此 刘 遂 老师 给 各 位 读者 准备 
大 家 只 需 在 /etc/rc.d/initd 目录 中 创建 脚本 文件 并 直接 复制 下 面 

















的 脚本 内 容 即 可 ( 相信 各 位 读者 在 掌握 了 第 4 童 的 内 容 之 后 ， 应 该 可 以 顺利 看 懂 这 个 脚本 文 


作乱 


这 个 脚本 文件 的 内 容 较 多 ， 读 者 可 通过 本 书 的 配套 网 站 在 线 获 得 ， 地 址 为 
http:/www.linuxprobe.com/chapter-20.html。 





!/bin/bash 
nginx — this Script 
chkconfig: - 85 15 


proxy and IMAP/POP3 


processname: nginx 


pidfile: /usr/local/ 








"SNETWORKING" = "no" 


root@linuxprobe nginx-1.6.0]# vim /etc/rc.d/init.d/nginx 


starts and stops the nginx daemon 


description: Nginx is an HTTP(S) server, HTTP(S) reverse \ 


proxy server 


config: /etc/nginx/nginx.conf 
config: /usr/local/nginx/conf/nginx.conf 


nginx/logs/nginx.pid 


Source function library. 
/etc/rc.d/init.d/functions 
Source networking configuration. 
/etc/sysconfig/network 

Check that networking is up. 


] && exit 0 


nginx="/usr/local/nginx/sbin/nginx" 


prog=$ (basename S$nginx) 


NGINX _ CONF _FILE="/usr/ 


local/nginx/conf/nginx.conf" 


[ -£f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx 


lockfile=/var/lock/subsys/nginx 


make dirs() { 
# make required directories 
User=" $nginx -V 2>&1 | grep "configure arguments:" | sed 's/[^*]*--user=\([^ ]*\). 
NL AG 
if [ -z "grep $user /etc/passwd‘'" ]; then 


useradd -M -s /bin/nologin $user 


fi 
options=` $nginx -V 2>& 


1 | grep "configure arguments:"'. 


for opt in $options; do 


if [ ‘echo S$opt | grep '.*-temp-path'. ]; then 
value=‘echo S$opt | cut -d "=" -f 2. 
if [ ! -da "$value" ]; then 
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# echo "creating" S$value 
mkdir -p $value && chown -R $user $value 


[ -x $nginx ] | | exit 5 

[ -E $SNGINX CONF FILE ] || exit 6 
make dirs 

echo -n S$S"Starting SPprog: " 
daemon S$nginx -C S$NGINX CONF FILE 
retval=$? 

echo 

[ $retval -eq 0 ] && touch $lockfile 
return $retval 

} 

stop() { 

echo -n S$"Stopping SPprog: " 
killproc S$prog -QUIT 

retval=$? 

echo 

[ $retval -eq 0 ] && rm -f $lockfile 
return $retval 

} 

restart() { 

#configtest || return $? 

stop 

sleep 1 

start 

} 

reload() { 

#configtest || return $? 

echo -n S$"Reloading SProg: " 
killproc Snginx -HUP 

RETVAL=$? 

echo 


force reload() { 
TESt 人 a 


configtest() { 
Snginx -t -C S$NGINX CONF FILE 


Yh statues.ti’ 4 
status S$prog 


rh status q() { 
rh status >/dev/null 2>&1 





case "$1" in 


start) 
rh status q && exit 0 
$1 
77 
stop) 
rh status q [| exit 0 


$1 
7 


restart |configtest) 
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ESstatas-d [| exit 7 
$1 
17 
force-reload) 
force reload 
17 
status) 
rh status 
尖 
condrestart |try-restart) 
rh status q [| exit 0 
17 
*) 
echo S$"Usage: $0 {start|stop|status restart |condrestart |try-restart |reload |force- 
reload|configtest}" 
exit 2 
esac 


保存 脚本 文件 后 记得 为 其 赋予 755 权限 ， 以 便 能 够 执行 这 个 脚本 。 然 后 以 绝对 路 径 的 方 
式 执行 这 个 脚本 ， 通 过 restart 参数 重启 Nginx 服务 程序 ， 最 后 再 使 用 chkconfig 命令 将 Nginx 


服务 程序 添加 至 开机 启动 项 中 。 大 功 告 成 ! 


[root@linuxprobe nginx-1.6.0]# chmod 755 /etc/rc.d/init.d/nginx 


























[root@linuxprobe nginx-1.6.0]# /etc/rc.d/init.d/nginx restart 
Restarting nginx (via systemct1): [ OK |] 
[root@linuxprobe nginx-1.6.0]# chkconfig nginx on 


Nginx 服务 程序 在 启动 后 就 可 以 在 浏览 器 中 输入 服务 器 的 瑟 地址 来 查看 到 默认 网 页 了 。 
相 较 于 Apache 服务 程序 的 红色 默认 页 面 , Nginx 服务 程序 的 默认 页 面 显得 更 加 简洁 , 如 图 20-2 
所 示 。 












































一- 一 ~ Me) she 
Welcome to nginxl x 
GC 0D 192.168.10.10 电 yY| 三 


Welcome to nginx! 


If you see this page, the nginx web server is successfully installed and 
working. Further configuration is required. 


For online documentation and support please refer to nginx.org. 
Commercial support is available at nginx.com. 


Thank you for using nginx. 











20-2 Nginx 服务 程序 的 默认 页 面 
20.2.3 配置 PHP 服务 
PHP( Hypertxt Preprocessor, 超 文本 预 处 理 器 ) 是 一 种 通用 的 开源 脚本 语言 , 发 明 于 1995 


年 ， 它 吸取 了 C 语言 、Java 语言 及 Perl 语言 的 很 多 优点 ， 具 有 开源 、 免 费 、 快 捷 、 跨 平台 性 
强 、 效 率 高 等 优良 特性 ， 是 目前 Web 开发 领域 最 常用 的 语言 之 一 。 本 书 的 配套 站 点 就 是 基于 
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PHP 语言 编写 的 。 








使 用 源码 包 的 方式 编译 安装 PHP 语言 环境 其 实 并 不 复杂 ， Se Sasi 
人 为 此 需 he en ei 面 的 软件 程序 包 ， 然 











0 装 PHP 程序 。 


yasm 源码 包 是 一 球 常 见 的 开源 汇编 器 ， 其 解压 、 编 译 、 安 装 过 程 中 生成 的 输出 信息 均 已 

















省 略 : 





[root@linuxprobe nginx-1.6.0]# cd .. 
[root@linuxprobe src]# tar ZXVE yasm-1.2.0.tar.gz 
[root@linuxprobe src]# cd yasm-1.2.0 
[root@linuxprobe yasm-1.2.0]# ./configure 
[root@linuxprobe yasm-1.2.0]# make 
[root@linuxprobe yasm-1.2.0]# make install 














libmerypt 源码 包 是 用 于 加 密 算 法 的 扩展 库 程序 ， 其 解压 、 编 译 、 安 装 过 程 中 生成 的 输出 








言 息 均 已 省 上 略 : 





[root@linuxprobe yasm-1.2.0]# cd .. 

[root@linuxprobe src]# tar zxvf libmcrypt-2.5.8.tar.gz 
[root@linuxprobe src]# cd libmcrypt-2.5.8 
[root@linuxprobe libmcrypt-2.5.8]# ./configure 
[root@linuxprobe libmcrypt-2.5.8]# make 
[root@linuxprobe libmcrypt-2.5.8]# make install 





























libvpx 源码 包 是 用 于 提供 视频 编码 器 的 服务 程序 ， 其 解压 、 编 译 、 安 装 过 程 中 生成 的 输 
出 信息 均 已 省 略 。 相 信 会 有 很 多 粗心 的 读者 顺手 使 用 了 tar 命令 的 xzvf 参数 ， 但 如 果 仔 细 观 
察 就 会 发 现 libvpx 源码 包 的 后 缀 是 .tar.bz2, 即 表 示 使 用 bzip2 格式 进行 的 压缩 , 因此 正确 的 解 























四 并 





下 参数 应 该 是 xjvf: 





root@linuxprobe libmcrypt-2.5.8]# cd .. 
root@linuxprobe src]# tar xjvf libvpx-v1l.3.0.tar.bz2 
root@linuxprobe src]# cd libvpx-vl.3.0 


shared --enable-vp9 
root@linuxprobe libvpx-vl.3.0]# make 





root@linuxprobe libvpx-vl.3.0]# make install 


root@linuxprobe libvpx-vl.3.0]# ./configure --prefix=/usr/local/libvpx --enable-— 

















tiff 源码 包 是 用 于 提供 标签 图 像 文 件 格式 的 服务 程序 ,其 解压 、 编 译 、 安 装 过 程 中 生成 的 





输出 信息 均 已 省 略 : 











[root@linuxprobe libvpx-vl.3.0]# cd .. 
[root@linuxprobe src]# 七 a zxvf tiff-4.0.3.tar.gz 
[root@linuxprobe src]# cd tiff-4.0.3 


[root@linuxprobe tiff-4.0.3]# ./configure -prefix=/usr/local/tiff -~--enable-shared 


[root@linuxprobe tiff-4.0.3]# make 
[root@linuxprobe tiff-4.0.3]# make install 























libpng 源码 包 是 用 于 提供 png 图 片 格式 支持 函数 库 的 服务 程序 ， 
阳 中 生成 的 输出 言 息 均 已 省 略 : 





其 解压 、 编 译 、 安 装 过 














[root@linuxprobe tiff-4.0.3]# cd .. 
[root@linuxprobe src]# 七 ar zxvf libpng-1.6.12.tar.gz 
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[root@linuxprobe 
[root@linuxprobe 
shared 

[root@linuxprobe 
[root@1linuxprobe 


src]# cd libpng-1.6.12 
libpng-1.6.12]# ./configure --prefix=/usr/local/libpng --enable-— 
libpng-1.6.12]# make 

libpng-1.6.12]# make install 





freetype 源码 包 是 用 于 提供 字体 支持 引擎 的 服务 程序 ,其 解压 、 编 译 、 安 装 过 





输出 信息 均 已 省 略 : 





过 程 中 生成 的 





[root@linuxprobe 
[root@linuxprobe 
[root@linuxprobe 
[root@linuxprobe 
enable-shared 

[root@linuxprobe 
[root@linuxprobe 


lipbpng-1.6.12]# cd .. 

src]# tar zxvf freetype-2.5.3.tar.gz 
src]# cd freetype-2.5.3 
freetype-2.5.3]# ./configure --prefix=/usr/local/freetype 一 
freetype-2.5.3]# make 

freetype-2.5.3]# make install 








jpeg 源码 包 是 用 于 提供 jpeg 图 片 格式 支持 函 
中 生成 的 输出 信息 








数 库 的 服务 程序 ， 其 解压 、 编 译 





均 已 省 略 : 





[root@1linuxprobe 
[root@1linuxprobe 
[root@1linuxprobe 
[root@1linuxprobe 
[root@1linuxprobe 
[root@1linuxprobe 


freetype-2.5.3]# cd .. 

src]# tar zxvf jpegsrc.v9a.tar.gz 

srcl# cd jpeg-9a 

jpeg-9a]# ./configure --prefix=/usr/local/jpeg --enable-shared 
jpeg—-9al# make 

jpeg—-9al# make install 








libgd 源码 包 是 用 于 提供 图 形 处 理 的 服务 程序 ， 其 解压 、 编 译 、 安 装 过 程 中 生成 的 输出 信 
息 均 已 省 略 。 在 编译 libgd 源码 包 时 ， 请 记得 写 人 的 是 jpeg 、libpng 、freetype 、tiff 、libvpx 等 
服务 程序 在 系统 中 的 安装 路 径 ， 即 在 上 面 安 装 过 程 中 使 用 --prefix 参数 指定 的 目录 路 径 : 






































[root@linuxprobe 
[root@linuxprobe 
[root@linuxprobe 
[root@linuxprobe 


Jpeg-9a]# cd .. 
src]# tar zxvf libgd-2.1.0.tar.gz 
src]# cd libgd-2.1.0 


libgd-2.1.0]# ./configure --prefix=/usr/local/libgd --enable-— 


shared --with-jpeg=/usr/local/jpeg --with-png=/usr/local/libpng -with-freetype= 


/usr/local/freetype --with-fontconfig=/usr/local/freetype --with-xpm=/usr/ -一 
with-tiff=/usr/local/tiff -~--with-vpx=/usr/local/libvpx 


[root@linuxprobe 
[root@linuxprobe 


libgd-2.1.0]# make 
libgd-2.1.0]# make install 





tllib 源码 包 是 用 于 提供 图 片 生成 函数 库 的 服务 程序 ， 其 解压 
输出 信息 均 已 省 略 。 安 装 后 把 /usr/lib64 目录 中 的 函 


压 、 编 译 、 安 装 过 程 中 生成 的 
数 文件 链接 到 /usrvlib 目录 中 ， 以 便 系统 能 























够 顺利 调 取 到 函数 文件 : 





root@linuxprobe 
root@linuxprobe 
root@linuxprobe 
root@linuxprobe 
shared 

root@linuxprobe 
root@linuxprobe 
root@linuxprobe 





root@linuxprobe 


cd libgd-2.1.0]# cd .. 
src]# tar zxvf t1lib-5.1.2.tar.gz 
src]# cd t1lib-5.1.2 


t1lib-5.1.2]# ./configure --prefix=/usr/local/t1llib --enable-— 


t1lib-5.1.2]# make 

t1lib-5.1.2]# make install 

t1lib-5.1.2]# ln -s /usr/1lib64/1libltdl.so /usr/lib/libltdl.so 
t1lib-5.1.2]# cp -frp /usr/l1ib64/1libXpm.so* /usr/l1ib/ 
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此 时 终于 把 编译 php 服务 源码 包 的 相关 软件 包 都 已 经 安装 部 署 受 当 了 。 在 开始 编译 php 
源码 包 之 前 , 先 定义 一 个 名 为 LD LIBRARY PATH 的 全 局 环境 变量 , 该 环境 变量 的 作用 是 帮 
助 系统 找到 指定 的 动态 链接 库 文件 ， 这 些 文件 是 编译 php 服务 源码 包 的 必须 元 素 之 一 。 编 译 
php 服务 源码 包 时 , 除了 定义 要 安装 到 的 目录 以 外 , 还 需要 依次 定义 配置 php 服务 程序 配置 文 
件 的 保存 目录 、MySQL 数据 库 服务 程序 所 在 目录 、MySQL 数据 库 服务 程序 配置 文件 所 在 目 
录 ， 以 及 libpng、jpeg、freetype 、libvpx、zlib、tllib 等 服务 程序 的 安装 目录 路 径 ， 并 通过 参 
数 启动 php 服务 程序 的 诸多 默认 功能 : 


[root@linuxprobe t11lib-5.1.2]# cd .. 
[root@linuxprobe src]# 七 ar -Zzvxf php-5.5.14.tar.gz 






























































[root@linuxprobe src]# cd php-5.5.14 

[root@linuxprobe php-5.5.14]# export LD LIBRARY PATH=/usr/local/libgd/1lib 
[root@linuxprobe php-5.5.14]# ./configure --prefix=/usr/local/php --with-config— 
file-path=/usr/local/php/etc --with-mysql=/usr/local/mysql --with-mysqli=/usr/local/ 
mysql/bin/mysql config --with-mysql-sock=/tmp/mysql.sock --with-pdo-mysql=/usr/local/ 
mysql --with-gd --with-png-dir=/usr/local/libpng --with-jpeg-dir=/usr/local/ 
jpeg --with-freetype-dir=/usr/local/freetype --with-xpm-dir=/usr/ --with-vpx-dir= 
/usr/local/libvpx/ --with-zlib-dir=/usr/local/zlib --with-t1lib=/usr/local/t1lib 
—--with-iconv --enable-libxml --enable-xml --enable-bcmath --enable-shmop --enable-— 
sysvsem --enable-inline-optimization --enable-opcache --enable-mbregex --enable-— 
fpm —--enable-mbstring -~--enable-ftp --enable-gd-native-ttf ~-with-openssl --enable-— 
pcntl1 --enable-sockets --with-xmlrpc --enable-zip --enable-soap --without— 
Pear --with-gettext --enable-session --with-mcrypt --with-curl --enable-ctype 
[root@linuxprobe php-5.5.14]# make 

[root@linuxprobe php-5.5.14]# make install 


在 php 源码 包 程 序 安装 完成 后 ， 需 要 删除 当前 默认 的 配置 文件 ， 然 后 将 php 服务 程序 目 
录 中 相应 的 配置 文件 复制 过 来 : 




















[root@linuxprobe Php-5.5.14]# rm -rf /etc/php.ini 

[root@linuxprobe php-5.5.14]# cp php.ini-production /usr/local/php/etc/php.ini 
[root@linuxprobe php-5.5.14]# ln -s /usr/local/php/etc/php.ini /etc/php.ini 
[root@linuxprobe php-5.5.14]# cp /usr/local/php/etc/php-fpm.conf.default /usr/ 


local/php/etc/php-fpm.conf 
[root@linuxprobe php-5.5.14]# ln -s /usr/local/php/etc/php-fpm.conf /etc/php-— 


fpm.conf 

php-fpm.conf 是 php 服务 程序 重要 的 配置 文件 之 一 ,我 们 需要 启用 该 配置 文件 中 第 25 行 
左右 的 pid 文件 保存 目录 ， 然 后 分 别 将 第 148 和 149 行 的 user 与 group 参数 分 别 修改 为 www 
账户 和 用 户 组 名 称 : 


[root@linuxprobe php-5.5.14]# vim /usr/local/php/etc/php-fpm.conf 




















BY 
2 ; FPM Configuration ;} 


AZVVrrrrrrrrrrrrrrrr7 


[95 


; All relative paths in this configuration file are relative to PHP's instal 1 


; prefix (/usr/local/php). This prefix can be dynamically changed by using 七 he 
; '-p' argument from the command line. 


; Include one or more files. If glob(3) exists, it is used to include a bunc h of 
; files from a glob(3) pattern. This directive can be used everywhere in the 
; file. 


PPO JOON 


3 
~ 
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; Relative path can also be used. They will be prefixed by: 


3 ) -the global prefix if it's been set (-p argument) 
14 ; - /usr/local/php otherwise 

5 ;include=etc/fpm.d/*.conf 

6 


17 77777777777777777 


18 ; Global OPtions ， 





19 和 


21 [globall 

22 ; Pid file 

23 ; Note: the default prefix is /usr/local/php/var 
24 ; Default Value: none 

25 pid = run/php-fpm.pid 





en 省 略 部 分 输出 信息 


145 ; Unix user/group of processes 





146 ; Note: The user is mandatory. If the group is not set, the default user's g roup 
147 ; will be used. 

148 user = www 

149 group = www 

150 

a 省 略 部 分 输出 信息 .…………… 








配置 妥当 后 便 可 把 用 于 管理 php 服务 的 脚本 文件 复制 到 /ete/re.dfinit.d 中 了 。 为 了 能 够 执行 











脚本 ， 请 记得 为 脚本 赋予 755 权限 。 最 后 把 php-fpm 服务 程序 加 入 到 开机 启动 项 中 : 





[root@linuxprobe php-5.5.14]# cp sapi/fpm/init.d.php-fpm /etc/rc.d/init.d/php-fpm 
[root@linuxprobe php-5.5.14]# chmod 755 /etc/rc.d/init.d/php-fpm 
[root@linuxprobe php-5.5.14]# chkconfig php-fpm on 











由 于 php 服务 程序 的 配置 参数 直接 会 影响 到 Web 服务 服务 的 运行 环境 ， 因 此 ， 如 果 默 认 








开局 








了 一 些 不 必要 且 高 危 的 功能 ( 如 允许 用 户 在 网 页 中 执行 Linux 命令 )， i 





侵 的 难度 ， 入 侵 人 员 甚 至 可 以 拿 到 整 台 Web 服务 顺 的 管理 权限 。 因 此 我 们 需要 编辑 php.ini 




















配置 文件 , 在 305 行 的 disable_functions 参数 后 面 追加 上 要 禁止 的 功能 。 下 面 的 禁用 功能 名 单 








是 刘 雍 老师 依据 网 站 运行 的 经 验 而 定制 的 ， 不 见得 适合 每 个 生产 环境 ， 建 议 大 家 在 此 基础 上 




















根据 自身 工作 需求 酌情 删 减 : 
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[root@linuxprobe php-5.5.14]# vim /usr/local/php/etc/php.ini 
ee 省 略 部 分 输出 信息 

















301 ; This directive allows you to disable certain functions for security reasons. 
302 ; It receives a comma-delimited list of function names. This directive is 
303 ; *NOT* affected by whether Safe Mode is turned On or Off. 

304 ; http://php.net/disable-functions 

305 disable functions = passthru,exec,system,chroot,scandir,chgrp,chown,shell 
exec,proc open,proc get status,ini alter,ini alter,ini restor e,dl,openlog, 
syslog, readlink, symlink,popepassthru,stream socket server,escapeshellcmd,d1l1, 
popen,disk free space,checkdnsrr,checkdnsrr,g etservbyname,getservbyport,disk 
total space,posix termid,posix get last error,posix getcwd,posix getegid,posix geteuid, 
posix getgid,po six getgrgid,posix getgrnam, posix getgroups,posix getlogin,posix 
getpgid,posix getpgrp,posix getpid,posix getppid,posix getpwnam,posix getpwuid, 


Pos 
Pos 
Pos 
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ix getrlimit,posix getsid,posix getuid,posix isatty,posix kill,posix mkfifo, 
ix setegid,posix seteuid,posix setgid,posix setpgid,posix setsid,posix setuid, 


ix strerror,posix times,posix ttyname,posix uname 


da 省 略 部 分 输出 信息 





这 样 就 把 php 服务 程序 配置 妥当 了 。 最 后 ， 还 需要 编辑 Nginx 服务 程序 的 主 配 置 文件 ， 
把 第 2 行 的 井 号 (# ) 删除 ， 然 后 在 后 面 写 上 负责 运行 Nginx 服务 程序 的 账户 名 称 和 用 户 组 名 





称 ; 在 第 
删除 来 启 









































45 行 的 index 参数 后 面 写 上 网 站 的 首页 名 称 。 最 后 是 将 第 65 一 71 行 参数 前 的 井 号 (# ) 
用 参数 ， 主 要 是 修改 第 69 行 的 脚本 名 称 路 径 参 数 ， 其 中 $document root 变量 即 为 网 




















站 信息 存储 的 根 目 录 路 径 ， 若 没有 设置 该 变量 ， 则 Nginx 服务 程序 无 法 找到 网 站 信息 ， 因 此 


会 提示 


php-fpm 




















“404 页 面 未 找到 ”的 报错 信息 。 在 确认 参数 信息 填写 正确 后 便 可 重启 Nginx 服务 与 
服务 。 





TP 


心 





[ro 


[ro 


oot@linuxprobe php-5.5.14]# vim /usr/local/nginx/conf/nginx.conf 


user WwW Www; 


worker processes 1; 
#error log logs/error.1og; 
#error log logs/error.log notice; 


#error log logs/error.log info; 


#pid logs/nginx.pid; 





a 省 略 部 分 输出 信息 





#access log logs/host .access.1og main; 


location / { 

root html; 

index index.html index.htm index .php; 
} 





Sa 省 略 部 分 输出 信息 





#pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000 


location ~ \.php$ { 

root html; 

fastegqi "pass. L127 00 .14:90003 

fastcgi index index.php; 

fastcgi param SCRIPT FILENAME $document root$fastcgi script name; 
include fastcgi params; 


} 





a 省 略 部 分 输出 信息 


ot@linuxprobe php-5.5.14]# Systemct1 restart nginx 





ot@linuxprobe php-5.5.14]# systemctl1 restart php-fpm 





至 此 ，LNMP 动态 网 站 环境 架构 的 配置 实验 全 部 结束 。 
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| 20.3 ”搭建 Discuz! 论 坛 





为 了 检验 LNMP 动态 网 站 环境 是 否 配置 妥当 ， 可 以 使 用 在 上 面部 署 Discuz! 系 统 ， 然 后 
查看 结果 。 如 果 能 够 在 LNMP 动态 网 站 环境 中 成 功 安装 使 用 Discuz! 论 坛 系统 , 也 就 意味 着 这 


























套 架 构 是 可 用 的 。Discuz! X3.2 是 国内 最 常见 的 社区 论坛 系统 , 在 经 过 十 多 年 的 研发 后 已 经 成 











为 了 全 球 成 熟 度 最 高 、 履 盖 率 最 广 的 论坛 网 站 系统 之 一 。 
Discuz! X3.2 软件 包 的 后 组 是 .zip 格式 ， 因 此 应 当 使 用 专用 的 unzip 命令 来 进行 解压 。 解 




















压 后 会 在 当前 目录 中 出 现 一 个 名 为 upload 的 文件 目录 ， 这 里 面 保存 的 就 是 Discuz! 论坛 的 





系统 程序 。 我 们 把 Nginx 服务 程序 网 站 根 目录 的 内 容 清空 后 ， 就 可 以 把 这 些 这 个 目录 中 的 














文件 都 复制 进去 了 。 记 得 把 














Nginx 服务 程序 的 网 站 根 目录 的 所 有 者 和 所 属 组 修改 为 本 地 的 





www 用 户 (已 在 20.2.2 小 节 创建 ), 并 为 其 赋予 755 权限 以 便于 能 够 读 、 写 、 执 行 该 论坛 系 








统 内 的 文件 。 
root@linuxprobe php-5.5.14 ]# cd /usr/local/src/ 
root@linuxprobe src]# unzip Discuz X3.2 SC GBK.zip 
root@linuxprobe src]# rm -rf /usr/local/nginx/html/{index.html, 50x.html}* 
root@linuxprobe src]# mv upload/* /usr/local/nginx/html/ 
root@linuxprobe src]# chown -RE www:www /usr/local/nginx/html 
root@linuxprobe src]# chmod -RE 755 /usr/local/nginx/html 














第 1 步 : 接受 Discuz! 安 装 向 导 的 许可 协议 。 在 把 Discuz! 论 坛 系统 程序 ( 即 刚才 upload 


目录 中 的 内 容 着 制 Nginx 














服务 网 站 根 目录 后 便 可 刷新 浏览 器 页 面 ,这 将 自动 跳 转 到 Discuz! 








X3.2 论坛 系统 的 安装 界面 , 此 处 需 单 击 “ 我 同意 ”按钮 , 进入 下 一 步 的 安装 过 程 中 , 如 图 20-3 


所 示 。 


\ c 192.168.10.10/inst 











川 


让 文 新 过 权 入 议 活用 于 中 文 用 户 


点 击 选择 : [ss] 区 











图 20-3 ”接受 Discuz! X3.2 论坛 系统 的 安装 许可 


第 2 步 : 检查 Discuz! X3.2 论坛 系统 的 安装 环境 及 目录 权限 。 我 们 部 署 的 LNMP 动态 网 


站 环境 版 本 和 软件 都 与 Discuz! 论 坛 的 要 求 相 符合 , 如 果 图 20-4 框 中 的 目录 状态 为 不 可 写 , 请 
属 组 是 否 为 www 用 户 , 以 及 是 否 对 目录 设置 了 755 权限 , 然后 单 





自行 检查 目录 的 所 有 者 和 所 


击 “下 一 步 ”按钮 。 
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下 
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第 3 步 : 选择 








图 20-4 ”检查 Discuz! X3.2 论坛 系统 的 安装 环境 及 目录 权限 





“全 新 安装 Discuz! X ( 含 UCenter Server 六 。UCenter Server 是 站 点 的 管理 








平台 ,能 够 在 多 个 站 点 之 间 同 步 会 员 账户 及 密码 信息 , 单 击 “ 下 一 步 ” 按钮， 如 图 20-5 所 示 。 





€ C 192.168.10.10/install/i 


WISCUL. 安装 向 导 


设置 运行 环境 


| 设置 去 行 环境 建 信 后 才 
9 





公安 闭 Discuzl X (帮工 测字 忆 科 安 靳 的 UCenter Server) 


st-=| 








图 20-5 ”选择 全 新 安装 Discuz! 论 坛 及 UCenter Server 











第 4 步 : 填写 服务 器 的 数据 库 信息 与 论坛 系统 管理 员 信息 。 网 站 系统 使 用 由 服务 器 本 地 
( localhost ) 提供 的 数据 库 服 务 ， 数 据 名 称 与 数据 表 前 缀 可 由 用 户 自行 填写 ， 其 中 数据 库 的 用 
户 名 和 密码 则 为 用 于 登录 MySQL 数据库 的 信息 ( 以 初始 化 MySQL 服务 程序 时 填写 的 信息 为 
准 )。 论坛 系统 的 管理 员 账 户 为 今后 登录 、 管 理 Discuz! 论 坛 时 使 用 的 验证 信息 ， 其 中 账户 可 





381 


使 用 LNMP 架构 部 署 动态 网 站 环境 





以 设置 得 简单 好 记 一 些 ， 但 是 要 将 密码 设置 得 尽 可 能 复杂 一 下 。 在 信息 填写 正确 后 单 击 “ 下 
一 步 ” 按 钮 ， 如 图 20-6 所 示 。 





x 
€ 3 CC D192.168.10.10/install/index.php?step=38inst 


WISCUZ. 安装 向 导 


》 安装 数据 库 
J. 
胜 重 安 急于 夫 Es 1 [D463 
® 
填 配 趣 煤 谍 信 息 
总 坟 攻 与 掉 echos 下 并 二 节气 回填 芝 , 一般 为 locyhost 

















图 20-6 ”填写 服务 器 的 数据 库 信息 与 论坛 系统 管理 员 信息 





第 5 步 : 等 待 Discuz! X3.2 论坛 系统 安装 完毕 ， 如 图 20-7 所 示 。 这 个 安装 过 程 是 非 
常 快速 的 ， 大 概 只 需要 30 秒 左 右 ， 然 后 就 可 看 到 论坛 安装 完成 的 欢迎 界面 了 。 由 于 虚拟 
机 主机 可 能 并 没有 连接 到 互联 网 ， 因 此 该 界面 中 可 能 无 法 正常 显示 Discuz! 论 坛 系统 的 广 
告 信 息 。 在 接 和 人 了 互联 网 的 服务 器 上 成 功 安 装 完 Discuz! X3.2 论坛 系统 之 后 ， 其 界面 如 图 
20-8 所 示 。 随 后 单 击 “您 的 论坛 已 完成 安装 ， 点 此 访问 ”按钮 ， 即 可 访问 到 论坛 首页 ， 如 
图 20-9 所 示 。 

















所 X 192,168.10.10/install/index .php 三 


尘 
建立 
十 了 
建立 
建 T 
建 人 7 
建立 
十 立 
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图 20-7 等 待 Discuz! X3.2 论坛 系统 安装 完毕 
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安装 向 导 
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图 20-9 ”Discuz! X3.2 论坛 系统 的 首页 界面 


20.4 选 购 服务 器 主机 




















我 们 日 常 访问 的 网 站 是 由 域名 、 网 站 源 程序 和 主机 共同 组 成 的 ， 其 中 ， 主 机 则 是 用 于 存 
放 网 页 源 代码 并 能 够 把 网 页 内 容 展 示 给 用 户 的 服务 器 。 在 本 书 即 将 结束 之 际 ， 刘 道 老 师 再 嗓 
嗪 几 名 有关 服 务 器 主机 的 知识 以 及 选 购 技 巧 ， 这 些 技巧 都 是 在 近 几 年 做 网 站 时 总 结 出 来 的 ， 
希望 能 对 大 家 有 所 帮助 。 
> 虚拟 主机 : 在 一 台 服 务 需 中 划分 一 定 的 磁盘 空间 供用 户 放置 网 站 信息 、 存 放 数 据 等 ; 
仅 提供 基础 的 网 站 访问 、 数 据 存放 与 传输 功能 ; 能 够 极 大 地 降低 用 户 费 用 ,也 几乎 不 
需要 用 户 来 维护 网 站 以 外 的 服务 ; 适合 小 型 网 站 。 
> VPS (Virtual Private Server， 虚 拟 专用 服务 器 ): 在 一 台 服 务 器 中 利用 OpenVZ、Xen 或 
KVM 等 虚拟 化 技术 模拟 出 多 台 “ 主 机 ”( 即 VPS )， 每 个 主机 都 有 独立 的 卫 地 址 、 操 作 系 
统 ; 不 同 VPS 之 间 的 磁盘 空间 、 内 存 、CPU 、 进 程 与 系统 配置 完全 隔离 ， 用 户 可 自由 使 用 
分 配 到 的 主机 中 的 所 有 资源 ， 为 此 需要 具备 一 定 的 维护 系统 的 能 力 ; 适合 小 型 网 站 。 
> ECS ( Elastic Compute Service， 云 服务 器 ): 是 一 种 整合 了 计算 、 存 储 、 网 络 ， 能 够 做 到 
弹性 伸缩 的 计算 服务 ; 使 用 起 来 与 VPS 几乎 一 样 , 差别 是 云 服务 器 是 建立 在 一 组 集群 服务 
器 中 ,每 个 服务 器 都 会 保存 一 个 主机 的 镜像 (备份 )， 从 而 大 大 提升 了 安全 性 和 稳定 性 ; 另 



































383 


使 用 LNMP 架构 部 署 动态 网 站 环境 


























外 还 具备 灵活 性 与 扩展 性 ; 用 户 只 需 按 使 用 量 付费 即 可 ; 适合 大 中 小 型 网 站 。 

> 独立 服务 器 : 这 人 台 服 务 器 仅 提 供给 用 户 一 个 人 使 用 , 其 使 用 方式 分 为 租用 方式 与 托管 
方式 。 租 用 方式 是 用 户 将 服务 器 的 硬件 配置 要 求 告知 IDC 服务 商 , 按照 月 、 季 、 年 为 
单位 来 租用 它们 的 硬件 设备 。 这 些 硬 件 设备 由 IDC 服务 商 的 机 房 负 责 维护 , 用 户 一 般 
需要 自行 安装 相应 的 软件 并 部 署 网 站 服务 , 这 减轻 了 用 户 在 硬件 设备 上 的 投入 , 适合 
大 中 型 网 站 。 托管 方式 则 是 用 户 需要 自行 购置 服务 器 硬件 设备 , 并 将 其 交 给 IDC 服务 
供应 商 进 行 管理 〈 需要 缴纳 管理 服务 费 )。 用 户 对 服务 器 硬件 配置 有 完全 的 控制 权 ， 
自主 性 强 ， 但 需要 自行 维护 、 修 理 服务 器 硬件 设备 ， 适 合 大 中 型 网 站 。 

另外 需要 提醒 读者 的 是 ， 在 选择 服务 噩 主机 供应 商 时 请 一 定 要 注意 查看 口碑 ， 并 在 综合 





只 



















































































分 析 后 再 决定 购买 。 某 些 供应 商会 有 限制 功能 、 强 制 添加 广告 、 隐 藏 扣 费 或 强制 扣 费 等 恶劣 
行为 ， 请 各 位 读者 一 定 擦 亮 眼睛 ， 不 要 上 当 ! 


| 复习 题 





1. 





使 用 源码 包 安 装 服务 程序 的 最 大 有 点 和 缺点 是 什么 ? 
答 : 使 用 源码 包 安 装 服务 程序 的 最 大 优势 是 ， 服 务 程序 的 可 移植 性 好 ,而 且 能 更 好 地 提升 
服务 程序 的 运行 效率 ; 缺点 是 源码 包 程 序 的 安装 、 管 理 、 印 载 和 维护 都 比较 麻烦 。 


























使 用 源码 包 的 方式 来 安装 软件 服务 的 大 致 步 又 是 什么 ? 
答 : 基本 分 为 4 个 步骤 , 分 别 为 下 载 及 解压 源码 包 文 件 、 编 译 源码 包 代码 、 生 成 二 进 制 安 
装 程序 、 运 行 二 进 制 的 服务 程序 安装 包 。 








. LNMP 动态 网 站 部 署 架 构 通 常 包含 了 哪些 服务 程序 ? 


答 : LNMP 动态 网 站 部 署 架构 通常 包含 Linux 系统 、Nsginx 网 站 服务 、MySQL 数据 库 管 
理 系统 ， 以 及 PHP 脚本 语言 。 


.在 MySQL 数据 库 服务 程序 中 ，/usr/local/mysql 与 /usr/local/mysql/var 目录 的 作用 是 什么 ? 














答 : /usr/local/mysql 用 于 保存 MySQL 数据 库 服务 程序 的 目录 ，/usr/local/mysql/var 则 用 于 
保存 真实 数据 库 文 件 的 目录 。 











， 较 之 于 Apache 服务 程序 ，Nginx 最 显著 的 优势 是 什么 ? 











答 : Nginx 服务 程序 比较 稳定 ， 原 因 是 采用 了 的 资源 分 配 技术 ， 降 低 了 CPU 与 内 存 的 占用 率 ， 
所 以 使 用 Nginx 程序 部 署 的 动态 网 站 环境 不 仅 十 分 稳定 、 高 效 ， 而 且 消 耗 的 系统 资源 也 很 少 。 





， 如何 禁 止 php 服务 程序 中 不 安全 的 功能 ? 














答 : 编辑 php 服务 程序 的 配置 文件 ( /usr/local/php/etc/php.ini )， 把 要 禁用 的 功能 追加 到 
disable_functions 参数 之 后 即 可 。 














对 于 处 于 创业 阶段 的 小 站 长 群体 来 说 ， 适 合 购买 哪 种 服务 器 类 型 呢 ? 





答 : 刘 六 老师 建议 他 们 选择 云 服 务 器 类 型 ,不 但 费用 便宜 (〈 每 个 月 费用 不 超过 100 元 人 民 
币 )， 而 且 性 能 也 十 分 强劲 。 
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异步 社区 的 来 历 

异步 社区 (www.epubit.com.cn) 是 人 民 邮 电 
出 版 社 旗下 IT 专业 图 书 旗 舰 社区 ， 于 2015 年 8 
月 上 线 运营 。 

异步 社区 依托 于 人 民 邮 电 出 版 社 20 余年 的 
IT 专业 优质 出 版 资源 和 编辑 策划 团队 ， 打 造 传 
统 出 版 与 电子 出 版 和 自 出 版 结合 、 纸 质 书 与 电 
子 书 结合 、 传 统 印 刷 与 POD 按 需 印 刷 结 合 的 出 
版 平台 ， 提 供 最 新 技术 资讯 ， 为 作者 和 读者 打 


造 交 流 互 动 的 平台 。 





社区 里 都 有 什么 ? 


购买 图 书 
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| 发 ‘®@; 数据 科学 峰 编程 滞 言 EE 移动 开发 个 游戏 开发 




















免费 电子 书 i 
Free eBook 











预 由 中 斯 方法 ; 构 农 编程。 机 器 学 习 而 目 开发 实战 。 贝 叶 斯 思维 : 纺 计 娃 模 _ 
与 贝 叶 其 推断 的 Python 学 习 法 近期 活动 





我 们 出 版 的 图 书 涵 盖 主 流 IT 技术 ， 在 编程 语言 、Web 技术 、 数 据 科学 等 领域 有 众多 经 典 畅销 图 书 。 


社区 现 已 上 线 图 书 1000 余 种 ， 电 子 书 400 多 种 ， 部 分 


发 布 新 书 书 讯 。 











下 载 资源 





新 书 实现 纸 书 、 电 子 书 同步 出 版 。 我 们 还 会 定期 


社区 内 提供 随 书 附 赠 的 资源 ， 如 书 中 的 案例 或 程序 源 代 码 。 
另外 ， 社 区 还 提供 了 大 量 的 免费 电子 书 ， 只 要 注册 成 为 社区 用 户 就 可 以 免费 下 载 。 











与 作 译 者 互动 








很 多 图 书 的 作 译 者 已 经 入 驻 社区 ， 您 可 以 关注 他 们 ， 咨 询 技术 问题 ; 可 以 阅读 不 断 更 新 的 技术 文章 ， 
听 作 译 者 和 编辑 畅 聊 好 书童 后 有 趣 的 故事 ;还 可 以 参与 社区 的 作者 访谈 栏目 ， 向 您 关注 的 作者 提出 采访 


题目 。 


灵活 优惠 的 购书 


您 可 以 方便 地 下 单 购买 纸 质 图 书 或 电子 图 书 ， 纸 质 图 书 直接 从 人 民 邮 电 出 版 社 书库 发 货 ， 电 子 书 提 


供 多 种 阅读 格式 。 


对 于 重 磅 新 书 ， 社 区 提供 预 售 和 新 书 首发 服务 ， 
用 户 账户 中 的 积分 可 以 用 于 购书 优惠 。100 积分 =1 元 ， 购 买 图 书 时 ， 在 。 


入 可 使 用 的 积分 数值 ， 即 可 扣 减 相应 金额 。 


用 户 可 以 第 一 时 间 买 到 心仪 的 新 书 。 


EC 里 上 


特别 优惠 


购买 本 书 的 读者 专 享 异 步 社 区 购书 优惠 券 。 


使 用 方法 : 注册 成 为 社区 用 户 ， 在 下 单 购书 时 输入 57AWG 





， 然 后 点 击 “使 


用 优惠 码 ”， 即 可 享受 电子 书 8 折 优惠 〈 本 优惠 券 只 可 使 用 一 次 )。 





月 运 


合 购买 





NNIS 











纸 电 图 书 
社区 独家 提供 纸 质 图 书 和 电子 书 组 合 购 
买方 式 , 价格 优惠 , 一 次 购买 , 多 种 阅读 选择 。 

















| 


Wiresharksm 
Et 


Wireshark 网 络 分 析 的 艺术 























社区 里 还 可 以 做 什么 ? 多 
提交 勘误 
您 可 以 在 图 书页 面 下 方 提交 勘误 ， 每 条 勘误 被 确认 后 可 以 获得 100 积分 。 热 心 勘误 的 读者 还 有 机 会 


参与 书稿 的 审 校 和 翻译 工作 。 





写作 
社区 提供 基于 Markdown 的 写作 环境 ， 








喜欢 写作 的 您 可 以 在 此 一 试 身手 ， 在 社区 里 分 享 您 的 技术 心 


得 和 读书 体会 ， 更 可 以 体验 自 出 版 的 乐趣 ， 轻 松 实现 出 版 的 梦想 。 





如 果 成 为 社区 认证 作 译 者 ， 还 可 以 享受 异步 社 














会 议 活动 早 知道 











您 可 以 掌握 IT 圈 的 技术 会 议 资讯 ， 更 有 机 会 免费 获 赠 





加 入 异步 





异步 社区 。” 微 信 服务 号 。 


社区 网 址 : 





www.epubit.com.cn 
官方 微 信 : 异步 社 
官方 微 博 : @ 人 邮 异 步 社区 ， 


投稿 & 咨询 : contact@epubit.com.cn 





区 








微 信 订阅 号 。 “ 


区 提供 的 作者 专 享 特色 服务 。 





会 门票 。 





官方 微 博 ”QQ 群 : 436746675 


@ 人 民 邮 电 出 版 社 - 信息 技术 分 社 


本 书 基于 RHEL 7 系统 编写 ， 面 向 零 基 础 读者 ， 从 Linux 基础 知识 讲 起 ， 然 后 渐 
进 式 地 提高 内 容 难 度 ， 详 细 讲 解 Linux 系统 中 各 种 服务 的 工作 原理 和 配置 方式 ， 以 匹 
配 真 实生 产 环 境 对 运 维 人 员 的 要 求 , 突显 内 容 的 实用 性 。 本 书 每 章 都 市 有 大 量 的 图 、 表 、 
命令 示例 以 及 课 后 习题 ， 旨 在 增强 读者 的 理解 能 力 并 巩固 所 学 知识 。 


本 书 的 配套 站 点 www.linuxprobe.com 还 提供 了 书 中 用 到 的 软件 和 大 量 学 习 资 
料 ， 以 及 答疑 服务 ， 为 读者 切实 入 门 Linux 系统 保驾 护航 。 

















































































本 书包 含 如 下 内 容 : 
@ ”部署 虚拟 环境 、 安 装 Linux 系统 ; @ 使 用 vsftpd 服务 传输 文件 ; 
@ 最 常用 的 Linux 命令 ; @ 使 用 Samba 或 NFS 实现 文件 共享 ; 
@ ， 与 文件 读 写 操作 相关 的 管道 符 、 重 定向 以 @ 使 用 BIND 提供 域名 解析 服务 ; 
及 环境 变量 ; @ ”使 用 DHCP 管理 动态 主机 地 址 ; 

@ 使 用 Vim 编辑 器 编写 Snell 脚本 ; @ 使 用 Postfx 与 Dovecot 部 署 邮 件 系 统 ; 
@ 用 户 身份 与 文件 权限 的 设置 ; @ 使 用 Squid 部 署 代理 缓存 服务 ; 
@ 磁盘 分 区 、 格 式 化 以 及 挂 载 操 作 ; QO 使 用 iSCSI 服务 部 署 网 络 存储 ; 
@ 磁盘 阵列 技术 和 逻辑 卷 管理 器 ; QO 使 用 MariaDB 数据 库 管 理 系统 ; 
@ Linux 系统 中 使 用 的 防火 墙 ; @ 使 用 PXE + Kickstart 无 人 值守 安装 服务 ; 
”使 用 ssh 服务 管理 远程 主机 ; @ 使 用 LNMP 架构 部 署 动态 网 站 环境 。 
@ 使 用 Apache 服务 部 署 静态 网 站 ; 
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